3 / 3 / 4
Регистрация: 16.02.2011
Сообщений: 270
|
||||||
1 | ||||||
Подскажите пож как правильно сделать?27.10.2013, 13:39. Показов 1497. Ответов 20
Метки нет (Все метки)
Здравствуйте1
Скажите пож как правильно спрятать сесию - нашел способ спрятать через private (доступна только тому кто ее вызвал) НО ее надо как то классами ООП использовать . а я тут несилен , подскажите пож как правильно. Сдделал так :
0
|
27.10.2013, 13:39 | |
Ответы с готовыми решениями:
20
Подскажите, как правильно сделать запрос Подскажите как сделать правильно Подскажите как правильно сделать Подскажите как правильно сделать. |
270 / 226 / 11
Регистрация: 20.04.2012
Сообщений: 817
|
|
27.10.2013, 19:18 | 2 |
зачем сессию прятать? от кого? что вы сделать то хотите?
1
|
3 / 3 / 4
Регистрация: 16.02.2011
Сообщений: 270
|
|
27.10.2013, 19:20 [ТС] | 3 |
Максимально безопасное хочу сделать - чтоб ничего невыдернули и неподсмотрели и т.п.
0
|
270 / 226 / 11
Регистрация: 20.04.2012
Сообщений: 817
|
|
27.10.2013, 19:24 | 4 |
я думаю, Вам надо идти мануал читать или хотя бы http://phpfaq.ru/sessions
Ваш вопрос лишен всякого смысла
0
|
601 / 569 / 104
Регистрация: 07.11.2010
Сообщений: 2,004
|
|
27.10.2013, 23:34 | 5 |
тут не только про сессии надо читать мануал, а про ООП.
1
|
1931 / 1522 / 703
Регистрация: 17.11.2012
Сообщений: 6,585
|
|
27.10.2013, 23:38 | 6 |
1
|
3 / 3 / 4
Регистрация: 16.02.2011
Сообщений: 270
|
|
27.10.2013, 23:50 [ТС] | 7 |
Я просто невкурсе откуда ждать вторжения и незнаю уязвимостей - поэтому по максимуму делаю .
0
|
117 / 117 / 0
Регистрация: 27.09.2013
Сообщений: 710
|
|
27.10.2013, 23:53 | 8 |
PHP исполняется на стороне сервера, его и так не видно
А на стороне сервера используйте обфускацию
1
|
363 / 334 / 38
Регистрация: 29.03.2011
Сообщений: 838
|
|
28.10.2013, 03:05 | 9 |
igor3310, от того, что вы спрячете сессию в private большого смысла нету - взломщик, если сможет залить куда-нибудь свой файл, просто вытащит все сессии по их абсолютному пути из /tmp/.. (только делать он это не будет - они не так уж и полезны, разве что вы там пароли не шифрованные храните; я бы на его месте для начала БД себе слил, потом дальше думал, чем тут можно поживиться).
1
|
3 / 3 / 4
Регистрация: 16.02.2011
Сообщений: 270
|
|
28.10.2013, 10:45 [ТС] | 10 |
Спасибо.
А что такое обфускация? Пароль в md5 захеширован и защиту от sql инъекций сделаю (получается файл шела незальет на сервер?) и как из папки tmp высосет сесии?
0
|
117 / 117 / 0
Регистрация: 27.09.2013
Сообщений: 710
|
|
28.10.2013, 18:17 | 11 |
0
|
3 / 3 / 4
Регистрация: 16.02.2011
Сообщений: 270
|
|
28.10.2013, 18:21 [ТС] | 12 |
0
|
117 / 117 / 0
Регистрация: 27.09.2013
Сообщений: 710
|
|
28.10.2013, 18:25 | 13 |
http://wb0.ru/phpobf.php
Посмотрите тут, там онлайн можно посмотреть что это Добавлено через 1 минуту И сюда можно глянуть http://phpworking.ru/php/obfus... to-nuzhno/
1
|
363 / 334 / 38
Регистрация: 29.03.2011
Сообщений: 838
|
|
28.10.2013, 22:25 | 14 |
Почитайте, что такое сессии в php. В кратце: это обычные временные файлы с уникальным именем (и выставление соответств. cookie). Как и всё временное - лежат обычно где-нибудь в /tmp (могут - прямо в корне папки, тут как пых настроен). Сессии есть смысл на клиенте перехватывать, чтобы подделать запрос, как-будто от его имени.
Если наш хакер (поиграю в его роль немного) нашёл какую-то дырку, позволяющую просмотреть внутр. кухню текущего скрипта (переменные выводить, например) - он просто выведет себе $_SESSION или сразу $_GLOBAL.. Только толку в этом немного - зачем мне МОЯ сессия - свои данные я и так обычно знаю. (ну и зачем мне мой id в БД). Зато я наверняка увижу настройки и логин/пароль от БД - хотя они мне и не очень нужны - я итак смогу вытянуть всю БД, передав серверу пару-тройку sql запросов (посмотрю структуру таблиц и вытяну их по одной, начиная с users). Простой пример такой уязвимости без sql-инъекций - eval() (и аналоги) чего-либо, принимаемого от пользователя. Другое дело, если я получу доступ на запись (в любую папку, из которой можно что-нибудь запустить) - тогда я смогу вытащить всё, что лежит на вашем сервере и доступно мне на чтение + подменить файлы, доступные на запись. PetyaVasechkin, igor3310, Единственный случай, когда обфускация имеет смысл - вы продаёте клиентам некое законченное решение, или набор библиотек и не хотите, чтобы они могли их легко менять/копировать, воровать (правда, очень немногие согласятся это покупать). Но в этом случае - лучше скомпилировать php-код в бинарники. Вот если кого-то взломают, искать в обфусцированном коде обфусцированные хакерские вставки - иголку в стоге сена найти проще. (если, конечно, нет немодифиц. бэкапа, чтобы тупо сравнить diff-ом пофайлово).
0
|
117 / 117 / 0
Регистрация: 27.09.2013
Сообщений: 710
|
|
28.10.2013, 23:43 | 15 |
0
|
363 / 334 / 38
Регистрация: 29.03.2011
Сообщений: 838
|
|
29.10.2013, 00:36 | 16 |
PetyaVasechkin, скомпиленный код (или ещё и закриптованный - у zend есть такая штука, ещё у кого-то видел, уже не помню) раздербанить в целом - затратнее, чем обфусцированный (от двух раз до порядков). Если проект сильно нишевый (а что ещё есть смысл так защищать) - заказать/запилить самому может обойтись всего раза в 1.5-2 дороже/дольше.
При этом у скомпиленного кода есть одно явное преимущество - он тупо быстрее работает, это можно продвигать, как достоинство, с другой стороны - обфусцированный с большой вероятностью будет медленнее оригинала. Возможный + именно обфускации - переносимость (скомпиленный в zend привязывается к версии php и собранный с 5.2 в 5.3 может тупо не завестись, вроде где-то видел обходные хаки, но не сильно заморачивался - всего раз такая фигня попадалась, когда MailTux попросили настроить).
0
|
117 / 117 / 0
Регистрация: 27.09.2013
Сообщений: 710
|
|
29.10.2013, 01:26 | 17 |
sKotenok, ох, скомпилированный\обфусцированый, зазенденый, ... никто ничего ломать не будет, 99.9999999%
Если захотят что то сломать или хакнуть, они это сделают. А быстрее он там или медленнее, это наверное имеет значение, разве что лишь в супер-проектах. Хотите быстрее - пишите на ассемблере или плюсах под конкретную архитектуру как модуль Apache, например. Я бы вообще не заморачивался на тему безопасности. Из-за такой заморочки багов в коде может появиться потом с пару сотен лишних. Преждевременная оптимизация - зло. Правильное проектирование, я бы на это обратил бы внимание. Чтобы поддерживать было легко и отлаживать. Ну и расширять, если понадобиться.
0
|
363 / 334 / 38
Регистрация: 29.03.2011
Сообщений: 838
|
|
29.10.2013, 01:57 | 18 |
PetyaVasechkin,
1. Вы первым про обфускацию упомянули, я лишь добавил, что уж лучше тогда код скомпилировать, раз ТС сессию в priavate пытался "спрятать". 2. Быстрее/медленее - как раз для небольших проектов имеет смысл, тупо потому что хостинг не резиновый, если будет тормозить - придётся тариф дороже брать. 3. В целом - это вообще НИКАК к безопасности не относится, взломщику от закрытия исходников ни горячо ни холодно. Найдя дыру он стырит базу, исходники - редко кому нужны. (разве что владельцу проблем больше). Ну и я вообще - за Open Source и хорошее проектирование. В этом с вами согласен.
0
|
117 / 117 / 0
Регистрация: 27.09.2013
Сообщений: 710
|
|
30.10.2013, 01:51 | 19 |
Да, изврат полнейший, прятать сессии
Про базу данных согласен. Если будут ломать, то именно её. Ну, если брать дешевый хостинг, то разумеется, возможны тормоза. И если у разрабов головы совсем тугие, по несколько вложеных циклов с запросами к БД делать, например, то тут ничего не спасёт ))) Просто, нужна мера в разработке. Фанатеть от безопасности или от скорости выполнения, это не верно. (ИМХО) Должно быть всё в балансе, достойное железо, и нормально написанный код. А приступая к разработке, сразу заниматься попытками зашифровать каждую строчку кода, и поставить охранника у входа в серверную, это мягко говоря невроз.
0
|
Заблокирован
|
|
30.10.2013, 09:27 | 20 |
Вам не только файл шелла зальют, а вообще вместо апача винду поставят, версии 3.11 при таком подходе.
0
|
30.10.2013, 09:27 | |
30.10.2013, 09:27 | |
Помогаю со студенческими работами здесь
20
Подскажите как правильно сделать Подскажите как правильно сделать Подскажите как правильно сделать вызов Подскажите, как сделать правильно отступ? Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |