[robincox]

Citat:

Ursprungligen postat av danjel

Annars spara sessionerna i databas, är väl det säkraste alternativet egentligen...

Jag tror egentligen att mina sessioner är ganska säkra eftersom jag slumpar fram nya värden till dem varje gång en sida laddas. Exempelvis:

En admin loggar in, då skapas session['sessionsnamn'] = 'HyhjhH76h6h8JHgh6';
Han eller hon klickar på en länk i menyn, då slumpas det fram ett nytt värde i sessionen, det kan då t.ex. bli session['sessionsnamn'] = 'uih345hno6noUH97';

Så det går inte för en hacker att klura ut vilket värde session['sessionsnamn'] ska ha för att han/hon ska bli inloggad som admin.

Men det stör mig att jag måste ge publika skriv och körrättigheter på mappen som håller sessionerna.