- Home
- Categorie
- Coding e Sistemistica
- PHP
- Sicurezza $_SESSION php
-
Sicurezza $_SESSION php
Ragazzi, studiando le Sessioni in PHP mi è venuto un dubbio, purtroppo non risolto dal mio manuale.
Ma nelle sessioni posso metterci dati sensibili? E soprattutto, queste possono essere modificate da un client esterno?
Faccio un esempio. Se una volta fatto il login memorizzo nella variabile di sessione $_SESSION = 'ADMINISTRATOR', è una falla nella sicurezza?
Voglio dire, nessun utente malintenzionato può modificare i propri dati di sessione "emulando" un nickname "administrator", vero?
-
Lato client non puoi modificare le SESSION.
-
Grazie per la risposta. Quindi mi posso fidare a controllare solo ed unicamente lo username pagina per pagina? E' sicuro al 100%?
-
Certo, puoi memorizzare in SESSION e interrogare quella variabile. Il "limite" della sicurezza di questo approccio sta nell'eventuale lettura del SID (session ID).
-
le sessioni funzionano così:
lato client viene memorizzato solo il session_id
lato server tutto il contenuto del'array $_SESSION
quindi puoi metterci tutto quello che vuoi anche la password dell'amministratore, come è stato già detto il punto debole è se lato client riescono a trovare il session_id appartenente ad un altro utente
-
A differenza di $_COOKIE quando utilizzi $_SESSION il client è a conoscenza esclusivamente dell'ID della sessione.
-
Vi ringrazio per l'esaustive risposte!