[PHP] Sito con parte sicura...

[SimoneLucca]

Quali strumenti posso usare per realizzare un sito in php con una sezione sicura? Mi appoggio a DB mySQL e non vorrei usare i cookie.
Grazie

[cionci]

Se non vuoi usare i cookie puoi sempre propagare il session ID tramite GET...php dovrebbe farlo in automatico (se non sbaglio) quando i cookie sono disabilitati...

Ciao

[SimoneLucca]

e con queste cose sono "sicuro"??? Quali altre attenzioni devo fare per essere il meno insicuro possibile? (uso MySQL+PHP)

[cionci]

I dati di sessione risiedono dalla parte del server e non transitano mai sulla rete... Potresti anche controllare l'IP ad ogni operazione, per evitare tentativi di "impersonificazione" (basterebbe sniffare il sessionID, anche se non so se questo controllo lo fa già PHP)... E' un'operazione veloce...basta salvarsi l'IP nella sessione...

[SimoneLucca]

ok cionci... hai fatto 99.... dimmi al volo la funzione per sapere l'IP e metterlo in una var!

grrrrrazie

[cionci]

Codice:

$_SESSION['IP'] = (getenv(HTTP_X_FORWARDED_FOR)) ?
                              getenv(HTTP_X_FORWARDED_FOR) :
                              getenv(REMOTE_ADDR);

o così:

Codice:

$_SESSION['IP'] = ($_SERVER['HTTP_X_FORWARDED_FOR']) ?
                              $_SERVER['HTTP_X_FORWARDED_FOR'] :
                              $_SERVER['REMOTE_ADDR'];

Ciao Simo

[SimoneLucca]

che differenza c'e' tra le due soluzioni?
a livello di compatibilità?

quindi nella pagina di autenticazione metto:
$_SESSION['IP'] = (getenv(HTTP_X_FORWARDED_FOR)) ?
getenv(HTTP_X_FORWARDED_FOR) :
getenv(REMOTE_ADDR);

e dopo, nelle pagine protette controllo in questo modo?

if ($_SESSION['IP'] == (getenv(HTTP_X_FORWARDED_FOR)) ?
getenv(HTTP_X_FORWARDED_FOR) :
getenv(REMOTE_ADDR) echo "ok";
else blablabla...

[SimoneLucca]

ma non c'e' verso di sapere l'effettivo indirizzo IP...
nel caso in cui il client sia in LAN dietro un router?

Provandolo in locale da il solito 127.0.0.1... non posso far venire il vero IP???

[cionci]

Prova a collegarti al server invece che con 127.0.0.1 con 192.168.0.x e vedrai il vero IP

Comunque quando ti connettti da fuori vedi l'IP della connessione ADSL o dialup...

Il controllo che hai fatto è giusto...

getenv è meno portabile di $_SERVER... infatti non funziona se PHP gira, se non sbaglio, come ISAPI in IIS...

[SimoneLucca]

te Cionci hai detto questo...

Quote:

Se non vuoi usare i cookie puoi sempre propagare il session ID tramite GET...php dovrebbe farlo in automatico (se non sbaglio) quando i cookie sono disabilitati...

Come mai tramite GET e non tramite POST?

Quindi il funzionamento del sito come dovrebbe essere?
esempio:

1) pagina di login controlla dal database user e pass;
2) se va bene cosa e come registra?
3) le altre pagine protette cosa devono controllare?


Grrrrraaaazzzziieeee!
P.S: In bocca al lupo per il 17.02!

[cionci]

La propagazione del session ID tramite GET dovrebbe farla automaticamente...

Setta session.use_cookies = 0 e vedrai che si propaga da solo
L'utiizzo da parte tua dovrebbe essere trasparente (almeno credo, fai qualche prova)...

[cionci]

Qui c'è scritto tutto: http://it.php.net/manual/it/ref.session.php

[cionci]

Quote:

Originariamente inviato da SimoneLucca
Grrrrraaaazzzziieeee!
P.S: In bocca al lupo per il 17.02!

Crepi

[cionci]

Ah..attento al javascript... Il session ID non si propaga ad esempio in una cosa del genere:

window.location = pippo.php;

Dovresti fare una cosa del genere a mano:

window.location = pippo.php<?php "?".SID ?>

[SimoneLucca]

Cionci sei un fico... ops un mito!