Форум программистов, компьютерный форум, киберфорум
PHP для начинающих
Форум программистов и сисадминов Киберфорум > Форум web-программистов > PHP > PHP для начинающих
Войти
Регистрация
Восстановить пароль
Блоги Сообщество Поиск Заказать работу  
 
Рейтинг 4.86/7: Рейтинг темы: голосов - 7, средняя оценка - 4.86
БТР - мой друг
 Аватар для Hagrael
333 / 277 / 47
Регистрация: 07.01.2010
Сообщений: 1,932

Безопасность данных

12.01.2012, 18:13. Показов 1571. Ответов 8
Метки нет (Все метки)
Студворк — интернет-сервис помощи студентам
Здравствуйте, программисты! У меня к вам такой вопрос: правильно ли я обеспечиваю безопасность данных пользователя? А обеспечиваю я ее следующим образом:

в БД есть таблица `users`, содержащая информацию о пользователях. В ней есть поля `id` (уникальный идентификатор пользователя) и `session-id` (уникальный идентификатор сессии пользователя).

Пользователь считается авторизированным, если у него в cookie хранятся id и session-id, соответствующие некоторой учетной записи, и именно эта учетная запись становится учетной записью этого пользователя.

Когда пользователь переходит на новую страницу, `session-id` его учетной записи в БД меняется на случайную комбинацию символов. Этот же новый session-id записывается ему в cookie.

Когда пользователь авторизируется, то ему в cookie записывается id, соответствующий его учетной записи, а также в БД и в cookie пользователя записывается новый случайный набор символов.

Таким образом, session-id обновляется при авторизации и при переходе на новую страницу.

Генерируется session-id по следующему алгоритму:
PHP
1

md5(time()*rand())
Скажите пожалуйста, безопасен ли алгоритм нахождения session-id и безопасна ли вся система в целом?

Заранее благодарен.

Добавлено через 2 минуты
И еще скажите, пожалуйста, может ли быть опасным для безопасности данных всплытие warning-a? Ничего, например, если появится строчка вроде этой:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'INERT INTO `users` (`session-id`, `login`, `password`, `name`, `last-name`, `bir' at line 1
0
Programming
Эксперт
39485 / 9562 / 3019
Регистрация: 12.04.2006
Сообщений: 41,671
Блог
 12.01.2012, 18:13
Ответы с готовыми решениями:

Безопасность сайта и базы данных
Всем привет. Уже достаточно долго занимаюсь PHP-программированием, за это время у меня разработано множество шаблонов, которые я внедряю...

Вставка на PHP - безопасность для базы данных
Здравствуйте. Скажите, кто сведущ, может ли получить несанкционированный доступ к базе данных форума на MySQL (типа PBPBBхх) или...

безопасность
зачастую видел уже в чужих готовых проектах такую последовательность config.php session_start(); if(!CONS) exit(); ...

8
2 / 2 / 1
Регистрация: 12.01.2012
Сообщений: 11
12.01.2012, 20:30
Строка опасна тем, что запрос на инсерт не будет выполнен. Проверьте синтаксис.
Насчет безопасности: вполне интересно, однако база будет нагружена сильно при 1к активных хитов (зависит от сервера).
1
БТР - мой друг
 Аватар для Hagrael
333 / 277 / 47
Регистрация: 07.01.2010
Сообщений: 1,932
13.01.2012, 16:31  [ТС]
Цитата Сообщение от uMagic Посмотреть сообщение
Строка опасна тем, что запрос на инсерт не будет выполнен. Проверьте синтаксис.
Не, с синтаксисом проблем нет Я спрашивал на случай, если они возникнут. Понятно. Значит, хакер, увидев ее, ничего секретного не узнает.
0
 Аватар для Vovan-VE
13210 / 6599 / 1041
Регистрация: 10.01.2008
Сообщений: 15,069
13.01.2012, 16:46
Цитата Сообщение от Hagrael Посмотреть сообщение
И еще скажите, пожалуйста, может ли быть опасным для безопасности данных всплытие warning-a? Ничего, например, если появится строчка вроде этой:
Для потенциального кулхацкера это лишняя информация к размышлению.
У опытного пользователя это вызовет улыбку и насмешки.
У остальных это вызовет недоумение.

Кроме разработчика на стадии разработки, больше ни для кого никогда плюсов в этом нет.
Цитата Сообщение от Hagrael Посмотреть сообщение
Таким образом, session-id обновляется при авторизации и при переходе на новую страницу.
Каждый раз при каждом переходе на любую новую страницу?
1
БТР - мой друг
 Аватар для Hagrael
333 / 277 / 47
Регистрация: 07.01.2010
Сообщений: 1,932
13.01.2012, 17:23  [ТС]
Цитата Сообщение от Vovan-VE Посмотреть сообщение
Для потенциального кулхацкера это лишняя информация к размышлению.
У опытного пользователя это вызовет улыбку и насмешки.
У остальных это вызовет недоумение.
Кроме разработчика на стадии разработки, больше ни для кого никогда плюсов в этом нет.
Понятно.

Цитата Сообщение от Vovan-VE Посмотреть сообщение
Каждый раз при каждом переходе на любую новую страницу?
Да.
0
45 / 45 / 12
Регистрация: 04.01.2010
Сообщений: 223
13.01.2012, 17:53
а в чём смысл генерировать этот session_id и записывать его в базу, вы считаете это даёт дополнительный уровень безопасности? я конечно соглашусь, что от подбора phpsessid это спасёт, потому как придётся подбирать 2 значения, что практически нереально. но и даже один phpsessid подобрать практически нереально, поэтому обычно хакеры не подбирают, а пытаются украсть phpsessid. в вашем случае вместе с ним будет украден и session_id, который вы генерируете, поэтому лично у меня вызывает сомнения такой способ защиты. я так понимаю, что ваш session_id изменяется при переходе на другую страницу но к самой странице не привязывается.
1
Исследователь
 Аватар для Jallik Lich
196 / 175 / 13
Регистрация: 30.10.2011
Сообщений: 605
Записей в блоге: 7
13.01.2012, 18:27
Я соглашусь со многим, здесь уже сказанным, что генерировать session_id не выгодно.
Во-первых - это лишняя нагрузка на сервер...
Во-вторых - токой ход вряд-ли даст более безопасную систему...
В-третьих - больше заморочки с кодом...
1
БТР - мой друг
 Аватар для Hagrael
333 / 277 / 47
Регистрация: 07.01.2010
Сообщений: 1,932
14.01.2012, 17:52  [ТС]
Цитата Сообщение от ПАЦАН Посмотреть сообщение
я так понимаю, что ваш session_id изменяется при переходе на другую страницу но к самой странице не привязывается.
Да, никакой привязки к странице нет.

Цитата Сообщение от ПАЦАН Посмотреть сообщение
а в чём смысл генерировать этот session_id и записывать его в базу, вы считаете это даёт дополнительный уровень безопасности? я конечно соглашусь, что от подбора phpsessid это спасёт, потому как придётся подбирать 2 значения, что практически нереально.
Сессии у меня вообще не используется, поэтому хакеру придется подбирать только одну зашифрованную строку - session-id. Но безусловно, о том, что хакер будет подбирать значение session-id, я не задумываюсь, т. к. это практически нереально.
0
БТР - мой друг
 Аватар для Hagrael
333 / 277 / 47
Регистрация: 07.01.2010
Сообщений: 1,932
28.01.2012, 12:08  [ТС]
А сложно ли подобрать строку, которую возвращает выражение
PHP
1

md5(time()*rand())
?
0
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
inter-admin
Эксперт
29715 / 6470 / 2152
Регистрация: 06.03.2009
Сообщений: 28,500
Блог
 28.01.2012, 12:08
Помогаю со студенческими работами здесь

безопасность
Приветствую. Сначала опишу ситуацию: есть прога на дельфи, которая обменивается шифрованными данными с сайтом. Из проги, через POST...

Безопасность
Здравствуйте. Защитил папку паролем. Там использовалися .htaccess и .htpsswd. При попытке войти в папку такое сообщение, как на...

В о безопасность
Всем доброй вечер подскажите как сделать чтоб золото в минус не уходила например у игрока есть в данный момент 500 а то что он хочет купить...

Безопасность
Вообщем, сделал аватарку для своего сайта. Так как я побоялся писать что бы фотку загружало на сервер, сделал просто по url. Вообщем...

Безопасность в php
Добрый вечер. Задумался о безопасности в php. К примеру есть такая функция для фильтрации данных: function cleardata($data){ ...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
9
Ответ Создать тему
Новые блоги и статьи
http://iceja.net/ сервер решения полиномов
iceja 18.01.2026
Выкатила http:/ / iceja. net/ сервер решения полиномов (находит действительные корни полиномов методом Штурма). На сайте документация по API, но скажу прямо VPS слабенький и 200 000 полиномов. . .
Расчёт переходных процессов в цепи постоянного тока
igorrr37 16.01.2026
/ * Дана цепь постоянного тока с R, L, C, k(ключ), U, E, J. Программа составляет систему уравнений по 1 и 2 законам Кирхгофа, решает её и находит: токи, напряжения и их 1 и 2 производные при t = 0;. . .
Восстановить юзерскрипты Greasemonkey из бэкапа браузера
damix 15.01.2026
Если восстановить из бэкапа профиль Firefox после переустановки винды, то список юзерскриптов в Greasemonkey будет пустым. Но восстановить их можно так. Для этого понадобится консольная утилита. . .
Сукцессия микоризы: основная теория в виде двух уравнений.
anaschu 11.01.2026
https:/ / rutube. ru/ video/ 7a537f578d808e67a3c6fd818a44a5c4/
WordPad для Windows 11
Jel 10.01.2026
WordPad для Windows 11 — это приложение, которое восстанавливает классический текстовый редактор WordPad в операционной системе Windows 11. После того как Microsoft исключила WordPad из. . .
Classic Notepad for Windows 11
Jel 10.01.2026
Old Classic Notepad for Windows 11 Приложение для Windows 11, позволяющее пользователям вернуть классическую версию текстового редактора «Блокнот» из Windows 10. Программа предоставляет более. . .
Почему дизайн решает?
Neotwalker 09.01.2026
В современном мире, где конкуренция за внимание потребителя достигла пика, дизайн становится мощным инструментом для успеха бренда. Это не просто красивый внешний вид продукта или сайта — это. . .
Модель микоризы: классовый агентный подход 3
anaschu 06.01.2026
aa0a7f55b50dd51c5ec569d2d10c54f6/ O1rJuneU_ls https:/ / vkvideo. ru/ video-115721503_456239114
КиберФорум - форум программистов, компьютерный форум, программирование
Поддержать - Реклама - Условия использования - Обратная связь
Powered by vBulletin
Copyright ©2000 - 2026, CyberForum.ru