Citat:
Originally posted by Brazzan@Jan 9 2008, 22:34
IP är osäkert, men bättre än inget... går dock att spoofa ip adresser. Det skyddar inte just den kapade sessionen, men det skyddar från att kunna gissa sig till hur andras sessions data ser ut.
Istället för att kapa en session och ta bort 100 konton, måste man kapa 100 sessioner för att ta bort 100 konton.
|
Hehe, du missar poängen.
En användare kan aldrig ändra sitt värde i sessionen, och kommer alltså aldrig kunna radera något annat än sin egen data.
Såvida inte personen lyckas köra egna SQL-satser via något annat hål som inte har med sessionshantering att göra.