Ostatnio doszły mnie słuchy ze cześć skryptów jest niezabezpieczona przed adopcja sesji.
Adopcja sesji - umieszczanie własnej (użytkownika) sesji w magazynie danych.
Oto jak się zabezpieczyć:
session_start();
if (!isset($_SESSION['our_own']))
{
session_regenerate_id(true);
$_SESSION['our_own'] = true;
}
Innymi słowy serwer akceptuje tylko sesje stworzone przez system (samego siebie).
Adopcja sesji - umieszczanie własnej (użytkownika) sesji w magazynie danych.
Oto jak się zabezpieczyć:
session_start();
if (!isset($_SESSION['our_own']))
{
session_regenerate_id(true);
$_SESSION['our_own'] = true;
}
Innymi słowy serwer akceptuje tylko sesje stworzone przez system (samego siebie).
- session_regenerate_id(true) - mówi serwerowi aby utworzył nową sesje(z nowym id) a starą usunął - za to odpowiada argument true.
Brak komentarzy:
Prześlij komentarz