Auth system czy dobrze zrobione?

Question

Witam czy taki kod jest bezpieczny ? Chodzi o panel admina

if($_SESSION["ADMIN"]) {

SHOW PANEL

}

else {

NIE MASZ UPRAWNIEN

}

 

Ogólnie sesji chyba nie da się podmienić?  

 

2. Pytanie czy ogoólnie jeżeli osoba korzysta z PDO, to mogę się jakoś włamać? czy tylko jak mysql_* bez bindowania

Answer 1

https://stackoverflow.com/questions/7616265/session-injection

O ile mi wiadomo, nie można podmienić sesji, ponieważ jest ona server-side, a nie client-side. Dodatkowo, jeśli ta sesja jest przechowywana na serverze, to user nie ma jak wstrzyknąć swojego kodu i napisać coś takiego:

$_SESSION['my_session']=false;

// chcę podmienić sesję na true, by się móc zalogować

curl_injection_session($curl_handle,'my_session',true);

// to jest pseudokod, funkcja powyżej nie istnieje

Nie ma takich funkcji w ogóle, nie da się wstrzyknąć (SESSION INJECTION), po to, to zostało wymyślone, aby nie dało się podmieniać wartości sesji SESSION. Po pierwsze, to trzeba byłoby znać zapewne nazwę sesji, a po drugie to musiałoby być stworzone coś, co pozwoliłoby na wstrzyknięcie własnych danych do kodu server'a, by podmienić wartość. A tej jak się nie pozwoli np. poprzez bazę danych, to nie ma się jak zmienić. Co innego z danymi przesyłanymi protokołem POST i GET, to są zmienne serverowe (transferowe), a nie daną wartością, którą ma zrozumieć tylko server. To tak jakbyś chciał podmienić zwykłą zmienną, nie sesyjną, np.: ($var = 5;). Nie da się tego zrobić. Musiałbyś specjalnie na to pozwolić, np. poprzez skrypt z plikami, który podmieniłby twój kod na user'a.

 

Comments

Tak myślałem. Dzięki ; )

---

Nawet jest takie specjalne zabezpieczenie, które wygląda tak:

session_start();

Oznacza to, że włączasz używanie zmiennych sesyjnych, tylko na tych stronach, podstronach, na których chcesz, a nie na wszystkich. Dostęp do tych zmiennych masz dopiero po zainicjalizowaniu tej linijki wyżej, by przez przypadek nie były widoczne te zmienne w całej witrynie, tylko na gdzie trzeba (oszczędność pamięci).

http://php.net/manual/en/function.session-start.php

PDO i mysqli to odrębny byt i nie ma nic do zmiennych serverowych.