Сессии в PHP
| Категория реферата: Рефераты по информатике, программированию
| Теги реферата: конспекты статей, древний реферат
| Добавил(а) на сайт: Агнесса.
Предыдущая страница реферата | 1 2 3 4 5 6 7 8 9 | Следующая страница реферата
?>
<html><body>
Вы ввели неверный пароль!
</body></html>
Как избавиться от <дыры> номер 2?
Предположим, у вас есть сайт, где каждый смертный может зарегистрироваться чтобы добавлять сообщения в форум. Естественно, в форуме у некоторых пользователей (админов, модераторов), возможностей больше чем у других, они, например, могут удалять сообщения других пользователей. Уровень доступа пользователя вы храните в сессии, в переменной $user_status, где $user_status = 10 соответствует полному доступу к системе. Пришедшему на сайт злоумышленнику достаточно зарегистрироваться штатным образом, а потом дописать в адресной строке браузера ?user_status=10. Вот и завёлся у вас на форуме новый админ!
В принципе, любую переменную скрипта можно задать через адресную строку, просто дописав после полного адреса к скрипту вопросительный знак и название переменной с её значением. Давайте поправим наш код, чтобы этого избежать:
- secretplace.php V2 -
<?php
// убираем всё лишнее из адресной строки
// функция unset() <освобождает> переменную
unset($logged_user);
// открываем сессию
session_start();
// и корректируем испорченные перменные.
// Важно: в этом случае, переменная регистрируется не как новая
// переменная, а как уже существующая, а потому знак $ не опускается
session_register($logged_user);
/*
просто зайти на эту страницу нельзя... если
имя пользователя не зарегистрировано, то
перенаправляем его на страницу index.php
для ввода логина и пароля... тут на самом деле
можно много чего сделать, например запомнить
IP пользователя, и после третьей попытки получить
Рекомендуем скачать другие рефераты по теме: развитие ребенка реферат, бесплатные дипломы.
Категории:
Предыдущая страница реферата | 1 2 3 4 5 6 7 8 9 | Следующая страница реферата