05-17-2013
|
 |
مدیر کل سایت  کوروش نعلینی |
|
تاریخ عضویت: Jun 2007
محل سکونت: کرمانشاه
نوشته ها: 12,700
سپاسها: : 1,382
7,486 سپاس در 1,899 نوشته ایشان در یکماه اخیر
|
|
محافظت از آی دی جلسه در پی اچ پی - محافظت از مشخصه نشست Not Protecting Session ID's php
محافظت از آی دی جلسه در پی اچ پی - محافظت از مشخصه نشست Protecting Session ID's
7. Not Protecting Session ID's
A very common PHP security mistake is not protecting session ID's with at least some sort of encryption. Not protecting these Session ID's is almost as bad as giving away a user's passwords. A hacker could swoop in and steal a session ID, potentially giving him sensitive information. MT Soft an example of how to protect Session ID's with sha1:
کد PHP:
if ($_SESSION['sha1password'] == sha1($userpass))
{ // do sensitive things here
}
</span>
Adding the shai1 to the ($userpass) gives an added bit of security to the session. Sha1 isn't a bulletproof method, but it's a nice barrier of security to keep malicious users at bay.
همچنین میتونین برای مشاهده سایر اشتباهات امنیتی رایج در پی اچ پی به این مقاله مراجعه کنین
The 7 most common PHP security mistakes
بهتره که حتما سشن (نشست - جلسه ) رو رمز کنید
کد PHP:
if ($_SESSION['password'] == $userpass) { // do sensitive things here }The above code is not secure, since the password is stored in plain text in a session variable. Instead, use code more like this:if ($_SESSION['sha1password'] == sha1($userpass)) { // do sensitive things here }
خصوصا نوشته شده که هیچگاه برای یک یوزر ولید شده اجازه تغییر پسورد رو بدون وارد کردن پسورد قبلی خودش ندین چون یک هکر میتونه با دستکاری سشن خودش بعد از لاگین و ولید شدن پسورد کس دیگه ای رو عوض کنه .
__________________
مرا سر نهان گر شود زير سنگ -- از آن به كه نامم بر آيد به ننگ
به نام نكو گر بميــرم رواست -- مرا نام بايد كه تن مرگ راست
ویرایش توسط دانه کولانه : 05-18-2013 در ساعت 12:01 AM
|
|
جای تبلیغات شما اینجا خالیست با ما تماس بگیرید
|
|