[PHP] Zabezpieczenie sesji

Witam.

Mam skrypt sesji wyglądający ogólnie tak:

<?
session_start();

	if (!isset($_SESSION['RESET']))
	{
		session_regenerate_id();
		$_SESSION['RESET'] = true;
		$_SESSION['IP'] = $_SERVER['REMOTE_ADDR'];
	}

	if($_SESSION['IP'] !== $_SERVER['REMOTE_ADDR'])
	{
		// nowa sesja
	}
?>

Jest to oczywiście tylko fragment kodu. Skrypt ma zabezpieczyć przez 'podkradaniem' PHPSESSID porównując m.in. IP. Nie wiem jak rozpocząć nową sesję nie niszcząc aktualnej (za jej żywotność odpowiada inny skrypt).

Jeśli dobrze pojąłem zagadnienie sesji to ma to chronić przed sytuacją gdy użytkownik A zaloguje sie do serwisu i prześle użytkownikowi B link do strony z doklejonym PHPSESSID (ex. http://mojastrona/index.php?cos=tam&PHPSESSID=asdasdasd). Użytkownik B klikając w link dostanie się do sesji użytkownika A, tak?

pozdrawiam

<?
$hash = md5("alamakota");
session_start();

        if ($_SESSION['RESET'] == $hash)
        {
                session_regenerate_id();
                $_SESSION['RESET'] = $hash;
                $_SESSION['IP'] = md5($_SERVER['REMOTE_ADDR']).$hash;
        }

        if($_SESSION['IP'] !== md5($_SERVER['REMOTE_ADDR']).$hash)
        {
                // nowa sesja
        }
?>

Ja cos takiego uzywam... mniej wiecej :P

Liczba odpowiedzi na stronę

[PHP] Zabezpieczenie sesji

1 użytkowników online, w tym zalogowanych: 0, gości: 1

Praca dla programistów

Forum dyskusyjne

Sprawy administracyjne

O nas

Skontaktuj się z nami