Подскажите пож как правильно сделать?

@igor3310 · Регистрация: 16.02.2011

Author24 — интернет-сервис помощи студентам

Здравствуйте1
Скажите пож как правильно спрятать сесию - нашел способ спрятать через private (доступна только тому кто ее вызвал) НО ее надо как то классами ООП использовать . а я тут несилен , подскажите пож как правильно.
Сдделал так :

PHP

$tt=$еее['aut'];  //хеш в md5  из БД присваиваю в $hh
 
class apTh{
private $tt;
}
 
session_register("tt");  //сюда хочу запихнуть этот хеш , только уже private

Подскажите пожд как правильно и вообще я в правильном направлении делаю безопасную авторизацию

@Василий Макогон · 27.10.2013, 19:18

зачем сессию прятать? от кого? что вы сделать то хотите?

@igor3310 · 27.10.2013, 19:20 **[ТС]**

Сообщение от Василий Макогон

зачем сессию прятать? от кого? что вы сделать то хотите?

Максимально безопасное хочу сделать - чтоб ничего невыдернули и неподсмотрели и т.п.

@Василий Макогон · 27.10.2013, 19:24

я думаю, Вам надо идти мануал читать или хотя бы http://phpfaq.ru/sessions
Ваш вопрос лишен всякого смысла

@panicwassano · 27.10.2013, 23:34

тут не только про сессии надо читать мануал, а про ООП.

@fanatikus · 27.10.2013, 23:38

Сообщение от igor3310

Максимально безопасное хочу сделать - чтоб ничего невыдернули и неподсмотрели и т.п.

это из серии- слишком хорошо, тоже не хорошо

@igor3310 · 27.10.2013, 23:50 **[ТС]**

Я просто невкурсе откуда ждать вторжения и незнаю уязвимостей - поэтому по максимуму делаю .

@PetyaVasechkin · 27.10.2013, 23:53

Сообщение от igor3310

Максимально безопасное хочу сделать - чтоб ничего невыдернули и неподсмотрели и т.п.

PHP исполняется на стороне сервера, его и так не видно

А на стороне сервера используйте обфускацию

@sKotenok · 28.10.2013, 03:05

igor3310, от того, что вы спрячете сессию в private большого смысла нету - взломщик, если сможет залить куда-нибудь свой файл, просто вытащит все сессии по их абсолютному пути из /tmp/.. (только делать он это не будет - они не так уж и полезны, разве что вы там пароли не шифрованные храните; я бы на его месте для начала БД себе слил, потом дальше думал, чем тут можно поживиться).

@igor3310 · 28.10.2013, 10:45 **[ТС]**

Спасибо.
А что такое обфускация?
Пароль в md5 захеширован и защиту от sql инъекций сделаю (получается файл шела незальет на сервер?) и как из папки tmp высосет сесии?

@PetyaVasechkin · 28.10.2013, 18:17

Сообщение от igor3310

А что такое обфускация?

Это что то типа шифрования исходного кода программы.

@igor3310 · 28.10.2013, 18:21 **[ТС]**

Сообщение от PetyaVasechkin

Это что то типа шифрования исходного кода программы.

А подскажите в каком направлении тут смотреть?

@PetyaVasechkin · 28.10.2013, 18:25

http://wb0.ru/phpobf.php
Посмотрите тут, там онлайн можно посмотреть что это

Добавлено через 1 минуту
И сюда можно глянуть
http://phpworking.ru/php/obfus... to-nuzhno/

@sKotenok · 28.10.2013, 22:25

Сообщение от igor3310

и как из папки tmp высосет сесии?

Почитайте, что такое сессии в php. В кратце: это обычные временные файлы с уникальным именем (и выставление соответств. cookie). Как и всё временное - лежат обычно где-нибудь в /tmp (могут - прямо в корне папки, тут как пых настроен). Сессии есть смысл на клиенте перехватывать, чтобы подделать запрос, как-будто от его имени.
Если наш хакер (поиграю в его роль немного) нашёл какую-то дырку, позволяющую просмотреть внутр. кухню текущего скрипта (переменные выводить, например) - он просто выведет себе $_SESSION или сразу $_GLOBAL.. Только толку в этом немного - зачем мне МОЯ сессия - свои данные я и так обычно знаю. (ну и зачем мне мой id в БД). Зато я наверняка увижу настройки и логин/пароль от БД - хотя они мне и не очень нужны - я итак смогу вытянуть всю БД, передав серверу пару-тройку sql запросов (посмотрю структуру таблиц и вытяну их по одной, начиная с users). Простой пример такой уязвимости без sql-инъекций - eval() (и аналоги) чего-либо, принимаемого от пользователя.
Другое дело, если я получу доступ на запись (в любую папку, из которой можно что-нибудь запустить) - тогда я смогу вытащить всё, что лежит на вашем сервере и доступно мне на чтение + подменить файлы, доступные на запись.

PetyaVasechkin, igor3310, Единственный случай, когда обфускация имеет смысл - вы продаёте клиентам некое законченное решение, или набор библиотек и не хотите, чтобы они могли их легко менять/копировать, воровать (правда, очень немногие согласятся это покупать). Но в этом случае - лучше скомпилировать php-код в бинарники. Вот если кого-то взломают, искать в обфусцированном коде обфусцированные хакерские вставки - иголку в стоге сена найти проще. (если, конечно, нет немодифиц. бэкапа, чтобы тупо сравнить diff-ом пофайлово).

@PetyaVasechkin · 28.10.2013, 23:43

Сообщение от sKotenok

Единственный случай, когда обфускация имеет смысл - вы продаёте клиентам некое законченное решение, или набор библиотек и не хотите, чтобы они могли их легко менять/копировать, воровать (правда, очень немногие согласятся это покупать). Но в этом случае - лучше скомпилировать php-код в бинарники. Вот если кого-то взломают, искать в обфусцированном коде обфусцированные хакерские вставки - иголку в стоге сена найти проще. (если, конечно, нет немодифиц. бэкапа, чтобы тупо сравнить diff-ом пофайлово).

Бинарник так же ломается.

@sKotenok · 29.10.2013, 00:36

PetyaVasechkin, скомпиленный код (или ещё и закриптованный - у zend есть такая штука, ещё у кого-то видел, уже не помню) раздербанить в целом - затратнее, чем обфусцированный (от двух раз до порядков). Если проект сильно нишевый (а что ещё есть смысл так защищать) - заказать/запилить самому может обойтись всего раза в 1.5-2 дороже/дольше.
При этом у скомпиленного кода есть одно явное преимущество - он тупо быстрее работает, это можно продвигать, как достоинство, с другой стороны - обфусцированный с большой вероятностью будет медленнее оригинала. Возможный + именно обфускации - переносимость (скомпиленный в zend привязывается к версии php и собранный с 5.2 в 5.3 может тупо не завестись, вроде где-то видел обходные хаки, но не сильно заморачивался - всего раз такая фигня попадалась, когда MailTux попросили настроить).

@PetyaVasechkin · 29.10.2013, 01:26

sKotenok, ох, скомпилированный\обфусцированый, зазенденый, ... никто ничего ломать не будет, 99.9999999%
Если захотят что то сломать или хакнуть, они это сделают.
А быстрее он там или медленнее, это наверное имеет значение, разве что лишь в супер-проектах.
Хотите быстрее - пишите на ассемблере или плюсах под конкретную архитектуру как модуль Apache, например.

Я бы вообще не заморачивался на тему безопасности. Из-за такой заморочки багов в коде может появиться потом с пару сотен лишних. Преждевременная оптимизация - зло.

Правильное проектирование, я бы на это обратил бы внимание. Чтобы поддерживать было легко и отлаживать. Ну и расширять, если понадобиться.

@sKotenok · 29.10.2013, 01:57

PetyaVasechkin,
1. Вы первым про обфускацию упомянули, я лишь добавил, что уж лучше тогда код скомпилировать, раз ТС сессию в priavate пытался "спрятать".

2. Быстрее/медленее - как раз для небольших проектов имеет смысл, тупо потому что хостинг не резиновый, если будет тормозить - придётся тариф дороже брать.
3. В целом - это вообще НИКАК к безопасности не относится, взломщику от закрытия исходников ни горячо ни холодно. Найдя дыру он стырит базу, исходники - редко кому нужны. (разве что владельцу проблем больше).
Ну и я вообще - за Open Source и хорошее проектирование. В этом с вами согласен.

@PetyaVasechkin · 30.10.2013, 01:51

Сообщение от sKotenok

1. Вы первым про обфускацию упомянули, я лишь добавил, что уж лучше тогда код скомпилировать, раз ТС сессию в priavate пытался "спрятать".

Да, изврат полнейший, прятать сессии

Про базу данных согласен. Если будут ломать, то именно её.

Сообщение от sKotenok

2. Быстрее/медленее - как раз для небольших проектов имеет смысл, тупо потому что хостинг не резиновый, если будет тормозить - придётся тариф дороже брать.

Ну, если брать дешевый хостинг, то разумеется, возможны тормоза.
И если у разрабов головы совсем тугие, по несколько вложеных циклов с запросами к БД делать, например, то тут ничего не спасёт )))

Просто, нужна мера в разработке.
Фанатеть от безопасности или от скорости выполнения, это не верно. (ИМХО)

Должно быть всё в балансе, достойное железо, и нормально написанный код. А приступая к разработке, сразу заниматься попытками зашифровать каждую строчку кода, и поставить охранника у входа в серверную, это мягко говоря невроз.

@~~sqlnub~~ · 30.10.2013, 09:27

Вам не только файл шелла зальют, а вообще вместо апача винду поставят, версии 3.11 при таком подходе.

@igor3310 3 / 3 / 4 Регистрация: 16.02.2011 Сообщений: 270
	28.10.2013, 18:21 [ТС]	12
	Сообщение от PetyaVasechkin Это что то типа шифрования исходного кода программы. А подскажите в каком направлении тут смотреть? 0

@sKotenok 363 / 334 / 38 Регистрация: 29.03.2011 Сообщений: 838
	28.10.2013, 22:25	14
	Сообщение от igor3310 и как из папки tmp высосет сесии? Почитайте, что такое сессии в php. В кратце: это обычные временные файлы с уникальным именем (и выставление соответств. cookie). Как и всё временное - лежат обычно где-нибудь в /tmp (могут - прямо в корне папки, тут как пых настроен). Сессии есть смысл на клиенте перехватывать, чтобы подделать запрос, как-будто от его имени. Если наш хакер (поиграю в его роль немного) нашёл какую-то дырку, позволяющую просмотреть внутр. кухню текущего скрипта (переменные выводить, например) - он просто выведет себе $_SESSION или сразу $_GLOBAL.. Только толку в этом немного - зачем мне МОЯ сессия - свои данные я и так обычно знаю. (ну и зачем мне мой id в БД). Зато я наверняка увижу настройки и логин/пароль от БД - хотя они мне и не очень нужны - я итак смогу вытянуть всю БД, передав серверу пару-тройку sql запросов (посмотрю структуру таблиц и вытяну их по одной, начиная с users). Простой пример такой уязвимости без sql-инъекций - eval() (и аналоги) чего-либо, принимаемого от пользователя. Другое дело, если я получу доступ на запись (в любую папку, из которой можно что-нибудь запустить) - тогда я смогу вытащить всё, что лежит на вашем сервере и доступно мне на чтение + подменить файлы, доступные на запись. PetyaVasechkin, igor3310, Единственный случай, когда обфускация имеет смысл - вы продаёте клиентам некое законченное решение, или набор библиотек и не хотите, чтобы они могли их легко менять/копировать, воровать (правда, очень немногие согласятся это покупать). Но в этом случае - лучше скомпилировать php-код в бинарники. Вот если кого-то взломают, искать в обфусцированном коде обфусцированные хакерские вставки - иголку в стоге сена найти проще. (если, конечно, нет немодифиц. бэкапа, чтобы тупо сравнить diff-ом пофайлово). 0

@PetyaVasechkin 117 / 117 / 0 Регистрация: 27.09.2013 Сообщений: 710
	28.10.2013, 23:43	15
	Сообщение от sKotenok Единственный случай, когда обфускация имеет смысл - вы продаёте клиентам некое законченное решение, или набор библиотек и не хотите, чтобы они могли их легко менять/копировать, воровать (правда, очень немногие согласятся это покупать). Но в этом случае - лучше скомпилировать php-код в бинарники. Вот если кого-то взломают, искать в обфусцированном коде обфусцированные хакерские вставки - иголку в стоге сена найти проще. (если, конечно, нет немодифиц. бэкапа, чтобы тупо сравнить diff-ом пофайлово). Бинарник так же ломается. 0

@Василий Макогон 270 / 226 / 11 Регистрация: 20.04.2012 Сообщений: 817
	27.10.2013, 19:18	2
	зачем сессию прятать? от кого? что вы сделать то хотите? 1

@igor3310 3 / 3 / 4 Регистрация: 16.02.2011 Сообщений: 270
	27.10.2013, 19:20 [ТС]	3
	Сообщение от Василий Макогон зачем сессию прятать? от кого? что вы сделать то хотите? Максимально безопасное хочу сделать - чтоб ничего невыдернули и неподсмотрели и т.п. 0

@Василий Макогон 270 / 226 / 11 Регистрация: 20.04.2012 Сообщений: 817
	27.10.2013, 19:24	4
	я думаю, Вам надо идти мануал читать или хотя бы http://phpfaq.ru/sessions Ваш вопрос лишен всякого смысла 0

@panicwassano 601 / 569 / 104 Регистрация: 07.11.2010 Сообщений: 2,004
	27.10.2013, 23:34	5
	тут не только про сессии надо читать мануал, а про ООП. 1

@fanatikus 1931 / 1522 / 703 Регистрация: 17.11.2012 Сообщений: 6,585
	27.10.2013, 23:38	6
	Сообщение от igor3310 Максимально безопасное хочу сделать - чтоб ничего невыдернули и неподсмотрели и т.п. это из серии- слишком хорошо, тоже не хорошо 1

@igor3310 3 / 3 / 4 Регистрация: 16.02.2011 Сообщений: 270
	27.10.2013, 23:50 [ТС]	7
	Я просто невкурсе откуда ждать вторжения и незнаю уязвимостей - поэтому по максимуму делаю . 0

@PetyaVasechkin 117 / 117 / 0 Регистрация: 27.09.2013 Сообщений: 710
	27.10.2013, 23:53	8
	Сообщение от igor3310 Максимально безопасное хочу сделать - чтоб ничего невыдернули и неподсмотрели и т.п. PHP исполняется на стороне сервера, его и так не видно А на стороне сервера используйте обфускацию 1

@sKotenok 363 / 334 / 38 Регистрация: 29.03.2011 Сообщений: 838
	28.10.2013, 03:05	9
	igor3310, от того, что вы спрячете сессию в private большого смысла нету - взломщик, если сможет залить куда-нибудь свой файл, просто вытащит все сессии по их абсолютному пути из /tmp/.. (только делать он это не будет - они не так уж и полезны, разве что вы там пароли не шифрованные храните; я бы на его месте для начала БД себе слил, потом дальше думал, чем тут можно поживиться). 1

@igor3310 3 / 3 / 4 Регистрация: 16.02.2011 Сообщений: 270
	28.10.2013, 10:45 [ТС]	10
	Спасибо. А что такое обфускация? Пароль в md5 захеширован и защиту от sql инъекций сделаю (получается файл шела незальет на сервер?) и как из папки tmp высосет сесии? 0

@PetyaVasechkin 117 / 117 / 0 Регистрация: 27.09.2013 Сообщений: 710
	28.10.2013, 18:17	11
	Сообщение от igor3310 А что такое обфускация? Это что то типа шифрования исходного кода программы. 0

	30.10.2013, 09:27

@PetyaVasechkin 117 / 117 / 0 Регистрация: 27.09.2013 Сообщений: 710
	28.10.2013, 18:25	13
	http://wb0.ru/phpobf.php Посмотрите тут, там онлайн можно посмотреть что это Добавлено через 1 минуту И сюда можно глянуть http://phpworking.ru/php/obfus... to-nuzhno/ 1

@sKotenok 363 / 334 / 38 Регистрация: 29.03.2011 Сообщений: 838
	29.10.2013, 00:36	16
	PetyaVasechkin, скомпиленный код (или ещё и закриптованный - у zend есть такая штука, ещё у кого-то видел, уже не помню) раздербанить в целом - затратнее, чем обфусцированный (от двух раз до порядков). Если проект сильно нишевый (а что ещё есть смысл так защищать) - заказать/запилить самому может обойтись всего раза в 1.5-2 дороже/дольше. При этом у скомпиленного кода есть одно явное преимущество - он тупо быстрее работает, это можно продвигать, как достоинство, с другой стороны - обфусцированный с большой вероятностью будет медленнее оригинала. Возможный + именно обфускации - переносимость (скомпиленный в zend привязывается к версии php и собранный с 5.2 в 5.3 может тупо не завестись, вроде где-то видел обходные хаки, но не сильно заморачивался - всего раз такая фигня попадалась, когда MailTux попросили настроить). 0

@PetyaVasechkin 117 / 117 / 0 Регистрация: 27.09.2013 Сообщений: 710
	29.10.2013, 01:26	17
	sKotenok, ох, скомпилированный\обфусцированый, зазенденый, ... никто ничего ломать не будет, 99.9999999% Если захотят что то сломать или хакнуть, они это сделают. А быстрее он там или медленнее, это наверное имеет значение, разве что лишь в супер-проектах. Хотите быстрее - пишите на ассемблере или плюсах под конкретную архитектуру как модуль Apache, например. Я бы вообще не заморачивался на тему безопасности. Из-за такой заморочки багов в коде может появиться потом с пару сотен лишних. Преждевременная оптимизация - зло. Правильное проектирование, я бы на это обратил бы внимание. Чтобы поддерживать было легко и отлаживать. Ну и расширять, если понадобиться. 0

@sKotenok 363 / 334 / 38 Регистрация: 29.03.2011 Сообщений: 838
	29.10.2013, 01:57	18
	PetyaVasechkin, 1. Вы первым про обфускацию упомянули, я лишь добавил, что уж лучше тогда код скомпилировать, раз ТС сессию в priavate пытался "спрятать". 2. Быстрее/медленее - как раз для небольших проектов имеет смысл, тупо потому что хостинг не резиновый, если будет тормозить - придётся тариф дороже брать. 3. В целом - это вообще НИКАК к безопасности не относится, взломщику от закрытия исходников ни горячо ни холодно. Найдя дыру он стырит базу, исходники - редко кому нужны. (разве что владельцу проблем больше). Ну и я вообще - за Open Source и хорошее проектирование. В этом с вами согласен. 0

@PetyaVasechkin 117 / 117 / 0 Регистрация: 27.09.2013 Сообщений: 710
	30.10.2013, 01:51	19
	Сообщение от sKotenok 1. Вы первым про обфускацию упомянули, я лишь добавил, что уж лучше тогда код скомпилировать, раз ТС сессию в priavate пытался "спрятать". Да, изврат полнейший, прятать сессии Про базу данных согласен. Если будут ломать, то именно её. Сообщение от sKotenok 2. Быстрее/медленее - как раз для небольших проектов имеет смысл, тупо потому что хостинг не резиновый, если будет тормозить - придётся тариф дороже брать. Ну, если брать дешевый хостинг, то разумеется, возможны тормоза. И если у разрабов головы совсем тугие, по несколько вложеных циклов с запросами к БД делать, например, то тут ничего не спасёт ))) Просто, нужна мера в разработке. Фанатеть от безопасности или от скорости выполнения, это не верно. (ИМХО) Должно быть всё в балансе, достойное железо, и нормально написанный код. А приступая к разработке, сразу заниматься попытками зашифровать каждую строчку кода, и поставить охранника у входа в серверную, это мягко говоря невроз. 0

@~~sqlnub~~ Заблокирован
	30.10.2013, 09:27	20
	Вам не только файл шелла зальют, а вообще вместо апача винду поставят, версии 3.11 при таком подходе. 0