session_start();

session_start(); postato il 31/12/2010 09:57:45 nel forum programmazione, open source e hosting e modificato da darkside of breakfast il 31/12/2010 13:06:59

Domanda stupida......

Inserire in ogni pagina, dopo il Login dell'utente nel sito, sempre:

<?php
// Controllo accesso
session_start();
if (!isset($_SESSION['Username']))
{
header('location:login_failed.php');
exit;
}
?>

....affinchè abbia inizio una Sessione sicura....?

AlterEgo ↗
Scopri AlterEgo GdR: un incredibile universo narrativo in stile medievale fantasy che cresce, muta e vive giorno dopo giorno grazie ai suoi giocatori!

Pagine → 1 2

blancks

SCRIVI

31/12/2010 10:39:59 e modificato da blancks il 31/12/2010 10:40:56

- ewan - ha scritto: Domanda stupida......

Inserire in ogni pagina, dopo il Login dell'utente nel sito, sempre:

<?php
// Controllo accesso
session_start();
if (!isset($_SESSION['Username']))
{
header('location:login_failed.php');
exit;
}
?>

....affinchè abbia inizio una Sessione sicura....?

Sicura no (per quello ti consiglio di sbirciare qui: https://www.gdr-online.com/readforum.asp?id=98049 ↗), ma è sicuramente un buon modo per verificare che non sia scaduta e che passi dati invalidi alle tue procedure ;-)

New Orleans ↗
La Città dai Mille Volti: Crime, Feste, Mistero, Voodoo, Natura Incontaminata, Fama, Grattacieli, Luci Splendenti e Ombre Profonde.

- ewan -

SCRIVI

31/12/2010 10:52:18

Grazie blancks

World of Tanks ↗
Lanciati in epiche battaglie spalla a spalla con altri giocatori. Conquista la supremazia nel mondo dei Carri Armati!

dyrr

SCRIVI

31/12/2010 11:55:55

in una mia risposta in questo topic se ti interessa c'è anche un approfondimento su come rendere un pò più siicura una sessione ai fini del furto di sessione https://www.gdr-online.com/readforum.asp?id=124978 ↗

più che l'intero codice che hai scritto in ogni pagina ti consiglierei comunque di creare una piccola funzioncina, classe o anche solo di scorposrare quel codice e metterlo in un file a parte da includere in maniera che se tra qualche tempo decidi di cambiare la procedura di autentificazione della sessione la devi cambiare una volta sola e non su tutte le pagine

Raja Dunia ↗
Tra verità divine e menzogne eterne, la tua anima è la chiave. Scopri Raja Dunia, e riscrivi il fato del Continente con armi e magia, fede o eresia.

darkside of breakfast

SCRIVI

31/12/2010 13:07:28

ti ho corretto il titolo del topic, per il resto gli altri hanno detto abbastanza :)

Imperion ↗
Imperion il nuovo browser game strategico medievale: costruisci, conquista e domina un mondo di gioco senza pay-to-win, solo strategia!

- ewan -

SCRIVI

31/12/2010 14:32:28

Seguendo le vostre indicazioni e cercando anche un pò in internet ho costruito una sorta di "controllo" maggiore sulla sessione, ditemi che ve ne pare:

<?php
// Controllo accesso
session_start();
//se era presente il session user
if(isset($_SESSION['user'])){
$user=mysql_query("SELECT * FROM user WHERE MD5(CONCAT(id,'@@@@',nome)) ='".mysql_escape_string($_SESSION['user'])."' limit 1");
//se mysql restiuisce 0 record
if(mysql_num_rows($user) == 0){
//distruggi la sessione
session_destroy();
//invia all apagina di errore.
header('location:errore.php');
}
else{
//ok, ha trovato e associa ad $_USER i valori dello user
//i dati dell' utente risiedono in questa variabile
//e potreai accedervi SOLO da codice php
$_USER=mysql_fetch_assoc($user);
}
}
else{
//non è impostato il session user... vai alla pagina di errore
header('location:errori/sessione.php');

sbagliato qualcosa?

Storie di Agarthi ↗
Un Varco si apre davanti a te, un mondo tra i mondi è a portata di mano. Lasciati alle spalle le certezze, inizia l'avventura!

- ewan -

SCRIVI

01/01/2011 11:10:49

Nessuuuunooo risponde???? :((

AlterEgo ↗
Scopri AlterEgo GdR: un incredibile universo narrativo in stile medievale fantasy che cresce, muta e vive giorno dopo giorno grazie ai suoi giocatori!

dyrr

SCRIVI

01/01/2011 14:51:06

il controllo che hai messo tu:

if(isset($_SESSION['user'])){
$user=mysql_query("SELECT * FROM user WHERE MD5(CONCAT(id,'@@@@',nome)) ='".mysql_escape_string($_SESSION['user'])."' limit 1");

si basa sulla variabile di sessione £_SESSION['user'] per cui se qualcuno forgia o ruba la sessione il "ladro" di sessioni avrà l'user dell'utente di cui ha rubato la sessione e il controllo non darebbe errori.

se vuoi mettere un controllo che diminuisca le possibilità di furto delle sessioni devi far fare un controllo tra qualcosa salvato sicuramente dall'utente vero al momento del login e qualcosa che possa essere abbastanza univoco che possa essere recuperato da php senza essere salvato dall'utente.
un esempio di questo sono i tre dati che ho indicato nel mio post: l'ip dell'utente che per essere forgiato richiede gia una certa competenza la stringa data da $_SERVER['HTTP_USER_AGENT'] che preveda che il ladro di sesisoni conosca il browser e sistema operativo con cui ha avuto accesso il vero pg e sia in grado di forgiarlo

Hero Wars ↗
Costruisci la tua squadra di eroi leggendari e domina il campo di battaglia! Strategia, tattica e potenza si scontrano in questo RPG ricco di azione!

- ewan -

SCRIVI

01/01/2011 15:03:56

A questo punto però mi sorge spontanea una domanda, ma per un GDR tutta questa protezione serve?

Mi spiego subito, è un gioco non una banca dati, una volta che si mettono al sicuro i dati sensibili un controllo come ho messo su non è sufficiente?