[php] Новичкам: задаем вопросы

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.

Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.

⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.

#11

19.05.2008, 03:07

Doom123

Постоянный

Регистрация: 11.11.2006

Сообщений: 834

Провел на форуме:
3941248

Репутация: 668

Отправить сообщение для Doom123 с помощью ICQ

Цитата:

Сообщение от Doom123

В данному случае я могу прописать в id сессии всё что угодно и попаду в админку

причём тут ид сессии и её значения..?

я туплю? или ты?))

сессии работают так:

создаются файл в хранилише сессии ... файл с именем ид сессии а значения сессии в этом файле....
пишется ид сессии чтоб можно было найти файл со значениями... то что ты возьмёш и измениш ид ничего не даст... это будет не существуюшия сессия!

Смотри:

PHP код:


		
			
<?php

session_start();

$_SESSION['aut'] = session_id();

echo $_SESSION['aut'];

?>

открывай страницу с этим кодом, покажется твой ид сессии. Теперь лезешь в оперу (ну или в мозилу с плагином работы с куки). Ищешь куку для своего домена с именем PHPSESSID жмякаешь изменить и меняешь на что хочешь...перезагружаешь страницу и видишь ту херню которую вписал))
Вот так же можно вписать туда всякую херь и выше упомянутый код пустит в админку так как по условию она существует. А что в ней за данные не проверяются))

ну и если ты прав (хотя не верится) то можно сделать так ..

PHP код:


		
			
<?php

session_start();

if(!isset($_SESSION['group']) || $_SESSION['group'] !== 'admin')

{

$_SESSION['group']  = 'user';

}



авторизация....



$_SESSION['group']  = 'admin';



if($_SESSION['group'] === 'admin')

{

go...

}