Citat:
Ursprungligen postat av danjel
Annars spara sessionerna i databas, är väl det säkraste alternativet egentligen...
|
Jag tror egentligen att mina sessioner är ganska säkra eftersom jag slumpar fram nya värden till dem varje gång en sida laddas. Exempelvis:
En admin loggar in, då skapas session['sessionsnamn'] = 'HyhjhH76h6h8JHgh6';
Han eller hon klickar på en länk i menyn, då slumpas det fram ett nytt värde i sessionen, det kan då t.ex. bli session['sessionsnamn'] = 'uih345hno6noUH97';
Så det går inte för en hacker att klura ut vilket värde session['sessionsnamn'] ska ha för att han/hon ska bli inloggad som admin.
Men det stör mig att jag måste ge publika skriv och körrättigheter på mappen som håller sessionerna.