|
[bugs] косяк с сессиями )) и как испрасить
|
|
| smallzloj | Дата: Понедельник, 05.09.2011, 21:47 | Сообщение # 1 |
|
Лейтенант
Группа: Проверенные
Сообщений: 31
Статус: Оффлайн
| дело в том, что можно украсть кукис сессии админа и тем самым зайти на его логин )) исправляется очень просто )
1. открываем index.php
*между тагам <?php и инклюдом include("includes/banned.php"); вставляем следующее ) ( предномеррено затерев всё, что находится между ними )
ini_set('session.cookie_httponly', true);
session_start();
ob_start();
if(isset($_SESSION['l_ip']) === false ){
$_SESSION['l_ip'] = $_SERVER['REMOTE_ADDR'];
}
if($_SESSION['l_ip'] !== $_SERVER['REMOTE_ADDR']){
session_unset();
session_destroy();
}
$_SESSION[TimeStart] = gettimeofday();
таким образом защищаем от копировки сессии )
Реклама
Сообщение отредактировал smallzloj - Понедельник, 05.09.2011, 22:00 |
| |
| |
| Yura | Дата: Вторник, 06.09.2011, 10:44 | Сообщение # 2 |
|
Генерал-майор
Группа: Проверенные
Сообщений: 176
Статус: Оффлайн
| не понятно зачем засорять url id сессии
добавить проверку на ип и все, лучше оставить хранение в куках
////
|
| |
| |
| speka07 | Дата: Среда, 21.12.2011, 01:58 | Сообщение # 3 |
 Генерал-майор
Группа: Проверенные
Сообщений: 447
Статус: Оффлайн
| Юра, а смысл делать проверку на ип ?
|
| |
| |
| Yura | Дата: Среда, 21.12.2011, 11:23 | Сообщение # 4 |
|
Генерал-майор
Группа: Проверенные
Сообщений: 176
Статус: Оффлайн
| Если боишься, что украдут id сессии администратора, то можно по простому защититься от использования украденной сессии - проверять ip владельца и того, кто обращается.
////
|
| |
| |
| speka07 | Дата: Среда, 21.12.2011, 13:23 | Сообщение # 5 |
|
Генерал-майор
Группа: Проверенные
Сообщений: 447
Статус: Оффлайн
| Юра, лучше давай вернемся к теме, как рисуют через сайт статы ресы и т.д и т.п
Говорил не много с вафлей, его подозрения падают на на файл character.class.php и character.php.
Я склонялся более к werehouse, но т.к шмот рисовать не могут, а только статы ресы и т.д этот вариант отпадает.
Я конечно попросил друга проверить файлы, но пока он освободится, потом вьедит в код ММВ, думаю это долго будет, да и нет гарантии что он что то исправит.
Попрошу Тебя, как знающего человека в этих делах, проверить код этих двух файлов.
|
| |
| |
| Yura | Дата: Среда, 21.12.2011, 15:50 | Сообщение # 6 |
|
Генерал-майор
Группа: Проверенные
Сообщений: 176
Статус: Оффлайн
| Character.php исключен, он только читает данные из БД. с character.class.php будет сложнее - он очень большой и содержит очень много функций.
При каких условиях происходит копирование вещей, у кого на сервере есть такая же проблема, логи смотрел?
////
|
| |
| |
| speka07 | Дата: Среда, 21.12.2011, 18:24 | Сообщение # 7 |
|
Генерал-майор
Группа: Проверенные
Сообщений: 447
Статус: Оффлайн
| ну это было уже месяц назад.
могу сказать только так.
Логов никаких после рисовки небыло, при чем админка исключение, я ее вытягивал на рабочий стол.
|
| |
| |
Главная | Топ серверов | Скины | Регистрация | Вход | English Version
