wtorek, 12 maja 2009

Session Adoption - walka z porywaniem sesji

Ostatnio doszły mnie słuchy ze cześć skryptów jest niezabezpieczona przed adopcja sesji.
Adopcja sesji - umieszczanie własnej (użytkownika) sesji w magazynie danych.
Oto jak się zabezpieczyć:



session_start();

if (!isset($_SESSION['our_own']))

{

session_regenerate_id(true);

$_SESSION['our_own'] = true;

}

Innymi słowy serwer akceptuje tylko sesje stworzone przez system (samego siebie).
  • session_regenerate_id(true) - mówi serwerowi aby utworzył nową sesje(z nowym id) a starą usunął - za to odpowiada argument true.


Brak komentarzy:

Prześlij komentarz