Файл: 12.doc

Скачать файл
Заказать решение

ВУЗ: Не указан

Категория: Не указан

Дисциплина: Не указана

Добавлен: 18.05.2024

Просмотров: 75

Скачиваний: 0

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

СОДЕРЖАНИЕ

12. Лекція:

1 Авторизація доступу

2 Механізм сесій

3 Настройка сесій

4 Робота з сесіями

4.1 Створення сесії

4.2 Реєстрація змінних сесії

4.3 Видалення змінних сесії

5 Безпека

echo session_id();

// виводимо ідентифікатор сесії

echo "<hr>";

session_unset();

// знищуємо всі глобальні змінні сесії

print_r($_SESSION);

echo session_id();

echo "<hr>";

session_destroy(); // знищуємо сесію

print_r($_SESSION);

echo session_id();

?>

Приклад 12.5. Знищення сесії і глобальних змінних

В результаті роботи цього скрипта будуть виведено три рядки: в першій - масив з елементом test і його значенням, а також ідентифікатор сесії, в другій - порожній масив і ідентифікатор сесії, в третій - порожній масив. Таким чином, видно, що після знищення сесії знищується і її ідентифікатор, і ми більше не можемо ні реєструвати змінні, ні взагалі проводити які-небудь дії з сесією.

5 Безпека

Взагалі кажучи, слід розуміти, що використовування механізму сесій не гарантує повної безпеки системи. Для цього потрібно вживати додаткові заходи. Звернемо увагу на проблеми з безпекою, які можуть виникнути при роботі з сесіями і, зокрема, з тими програмами, що ми написали.

По-перше, небезпечно передавати туди-сюди пароль, його можуть перехопити. Крім того, ми зареєстрували його як глобальну змінну сесії, значить, він зберігся в cookies на комп'ютері-клієнті. Це теж погано. І взагалі, паролі і логіни по-хорошому повинні зберігатися в базі даних. Хай інформація про користувачів зберігається в базі даних "test" (в таблиці "users"), а ми маємо до неї доступ під логіном my_user і паролем my_passwd.

По-друге, що робити, якщо хтось написав скрипт підбору пароля для секретної сторінки? В цьому випадку на сторінку авторизації багато раз повинен стукатися якийсь сторонній скрипт. Тому потрібно просто перевіряти, чи з нашого сайту прийшов запит на авторизацію, і якщо ні, то не пускати його далі. Адресу сторінки, з якою надійшов запит, можна одержати за допомогою глобальної змінної $_SERVER['HTTP_REFERER']). Хоча, звичайно, якщо за злом сайту узялися всерйоз, то значення цієї змінної теж підмінять (наприклад, за допомогою того ж PHP). Проте перевірку її значення можна вважати одним з найважливіших кроків на шляху до забезпечення безпеки свого сайту.

<?

session_start();

// створюємо нову сесію або відновлюємо поточну

$conn = mysql_connect("localhost", "my_user","my_passwd");

// встановлюємо з'єднання з сервером БД

mysql_select_db("test");

// вибираємо робочу базу даних

$SERVER_ROOT = "http://localhost/~vasia/tasks/sessions/";

/* за допомогою регулярного виразу $SERVER_ROOT і функції eregi перевіряємо чи починається адреса скрипта, з рядка $SERVER_ROOT (як у нас) */

if(eregi("$SERVER_ROOT" == $_SERVER['HTTP_REFERER'])){

// якщо так, то робимо майже те ж, що і раніше, пароль реєструвати не будемо

if (!isset($_POST['go'])){

echo "<form method=POST >

Login: <input type=text name=login>

Password: <input type=password name=passwd>

<input type=submit name=go value=Go>

</form>";

}else {

/* запит до бази даних: вибираємо з таблиці users login, який співпадає з переданим за запитом, причому пароль у нього теж повинен співпасти з введеним користувачем. Якщо цього нема, то вважаємо, що логін і пароль введені невірно */

$sql = "SELECT login FROM users

WHERE login='" . $_POST['login'] . "' AND passwd='" . $_POST['passwd'] . "';";

$q = mysql_query($sql,$conn); // відправляємо запит до БД

$n = mysql_num_rows($q); // число рядків відповідає на запит

if (!$n==0){

$_SESSION['user_login']=$_POST['login'];

// реєструємо змінну login

Header("Location: secret_info.php");

// перенаправляємо на сторінку secret_info.php

}else echo "Невірні дані, спробуйте ще раз<br>";

}

print_r($_SESSION); // виводимо всі змінні сесії

}

?>

Лістинг 12.6. authorize.php

Неначебто перші дві проблеми вирішено. Але є ще одна. Що робити, якщо хакер просто допише в рядок запиту значення якої-небудь глобальної змінної (наприклад, логіна)? Взагалі це можливо, тільки якщо register_globals=On. Просто інакше ми використовуємо для роботи з глобальними змінними масив $_SESSION і з ним такі фокуси не проходять. Все ж таки спробуємо розв'язати і цю проблему. Для цього потрібно очистити рядок запиту перед тим, як порівнювати значення параметрів. Тобто спочатку скинемо значення $user_login. Потім дану змінну потрібно знову зареєструвати, але не як нову, а як вже існуючу. Для цього знак долара при реєстрації не опускається. Ось що вийшло:

<?php

unset($user_login); // знищуємо змінну

session_start(); // створюємо нову сесію або відновлюємо поточну

session_register($user_login);

// реєструємо змінну як вже існуючу

if (!($user_login=="pit")) // перевіряємо логін

Header("Location: authorize.php");

// якщо помилка, то перенаправляємо на сторінку авторизації

?>

<html>

<head><title>Secret info</title></head>

... // тут розташовується секретна інформація :)

</html>

Лістинг 12.7. secret_info.php

Висновок

Отже, ми познайомилися з сесіями і основними способами роботи з ними, проблемами, що виникають при їх використовуванні, і можливими рішеннями цих проблем. Сподіваюся, що після прочитання лекції читачам стало ясно, наскільки зручні і прості у використовуванні сесії, а приведені приклади стануть в нагоді на практиці.

10

Смотрите также файлы