session_start();

Pagine → 1 2

blancks

31/12/2010 10:39:59 e modificato da blancks il 31/12/2010 10:40:56

- ewan - ha scritto: Domanda stupida......

Inserire in ogni pagina, dopo il Login dell'utente nel sito, sempre:

<?php
// Controllo accesso
session_start();
if (!isset($_SESSION['Username']))
{
header('location:login_failed.php');
exit;
}
?>

....affinchè abbia inizio una Sessione sicura....?

Sicura no (per quello ti consiglio di sbirciare qui: https://www.gdr-online.com/readforum.asp?id=98049 ↗), ma è sicuramente un buon modo per verificare che non sia scaduta e che passi dati invalidi alle tue procedure ;-)

GitHub: https://github.com/GDRCD/GDRCD ↗
Discord: https://discord.gg/zh69CDUf3V ↗

New World Order ↗
Diventa un agente del Nuovo Ordine Mondiale e affronta le forze occulte che minacciano il pianeta Terra in questo GDR Urban Fantasy per Mobile!

31/12/2010 10:52:18

Grazie blancks

dyrr

RAID Shadow Legends ↗
Plasma i tuoi eroi fino a farli diventare vere e proprie armi viventi e assembla i più epici gruppi d'assalto mai visti finora!

31/12/2010 11:55:55

in una mia risposta in questo topic se ti interessa c'è anche un approfondimento su come rendere un pò più siicura una sessione ai fini del furto di sessione https://www.gdr-online.com/readforum.asp?id=124978 ↗

più che l'intero codice che hai scritto in ogni pagina ti consiglierei comunque di creare una piccola funzioncina, classe o anche solo di scorposrare quel codice e metterlo in un file a parte da includere in maniera che se tra qualche tempo decidi di cambiare la procedura di autentificazione della sessione la devi cambiare una volta sola e non su tutte le pagine

darkside of breakfast

Enlisted ↗
Guida la tua squadra di soldati in combattimenti su larga scala, con fanteria, veicoli corazzati e aerei della IIa Guerra Mondiale!

31/12/2010 13:07:28

ti ho corretto il titolo del topic, per il resto gli altri hanno detto abbastanza :)

Dark Genesis ↗
Ascendi al cielo in Dark Genesis! Raduna potenti semidei, costruisci il tuo impero volante e scontrati in battaglie divine!

31/12/2010 14:32:28

Seguendo le vostre indicazioni e cercando anche un pò in internet ho costruito una sorta di "controllo" maggiore sulla sessione, ditemi che ve ne pare:

<?php
// Controllo accesso
session_start();
//se era presente il session user
if(isset($_SESSION['user'])){
$user=mysql_query("SELECT * FROM user WHERE MD5(CONCAT(id,'@@@@',nome)) ='".mysql_escape_string($_SESSION['user'])."' limit 1");
//se mysql restiuisce 0 record
if(mysql_num_rows($user) == 0){
//distruggi la sessione
session_destroy();
//invia all apagina di errore.
header('location:errore.php');
}
else{
//ok, ha trovato e associa ad $_USER i valori dello user
//i dati dell' utente risiedono in questa variabile
//e potreai accedervi SOLO da codice php
$_USER=mysql_fetch_assoc($user);
}
}
else{
//non è impostato il session user... vai alla pagina di errore
header('location:errori/sessione.php');

sbagliato qualcosa?

RAID Shadow Legends ↗
Plasma i tuoi eroi fino a farli diventare vere e proprie armi viventi e assembla i più epici gruppi d'assalto mai visti finora!

01/01/2011 11:10:49

Nessuuuunooo risponde???? :((

dyrr

Enlisted ↗
Guida la tua squadra di soldati in combattimenti su larga scala, con fanteria, veicoli corazzati e aerei della IIa Guerra Mondiale!

01/01/2011 14:51:06

il controllo che hai messo tu:

if(isset($_SESSION['user'])){
$user=mysql_query("SELECT * FROM user WHERE MD5(CONCAT(id,'@@@@',nome)) ='".mysql_escape_string($_SESSION['user'])."' limit 1");

si basa sulla variabile di sessione £_SESSION['user'] per cui se qualcuno forgia o ruba la sessione il "ladro" di sessioni avrà l'user dell'utente di cui ha rubato la sessione e il controllo non darebbe errori.

se vuoi mettere un controllo che diminuisca le possibilità di furto delle sessioni devi far fare un controllo tra qualcosa salvato sicuramente dall'utente vero al momento del login e qualcosa che possa essere abbastanza univoco che possa essere recuperato da php senza essere salvato dall'utente.
un esempio di questo sono i tre dati che ho indicato nel mio post: l'ip dell'utente che per essere forgiato richiede gia una certa competenza la stringa data da $_SERVER['HTTP_USER_AGENT'] che preveda che il ladro di sesisoni conosca il browser e sistema operativo con cui ha avuto accesso il vero pg e sia in grado di forgiarlo