[php] Новичкам: задаем вопросы

#11

19.05.2008, 03:07

Doom123

Постоянный

Регистрация: 11.11.2006

Сообщений: 834

С нами: 10262314

Репутация: 668

Цитата:

Сообщение от Doom123

В данному случае я могу прописать в id сессии всё что угодно и попаду в админку

причём тут ид сессии и её значения..?

я туплю? или ты?))

сессии работают так:

создаются файл в хранилише сессии ... файл с именем ид сессии а значения сессии в этом файле....
пишется ид сессии чтоб можно было найти файл со значениями... то что ты возьмёш и измениш ид ничего не даст... это будет не существуюшия сессия!

Смотри:

PHP код:


		
			
<?php

session_start();

$_SESSION['aut'] = session_id();

echo $_SESSION['aut'];

?>

открывай страницу с этим кодом, покажется твой ид сессии. Теперь лезешь в оперу (ну или в мозилу с плагином работы с куки). Ищешь куку для своего домена с именем PHPSESSID жмякаешь изменить и меняешь на что хочешь...перезагружаешь страницу и видишь ту херню которую вписал))
Вот так же можно вписать туда всякую херь и выше упомянутый код пустит в админку так как по условию она существует. А что в ней за данные не проверяются))

ну и если ты прав (хотя не верится) то можно сделать так ..

PHP код:


		
			
<?php

session_start();

if(!isset($_SESSION['group']) || $_SESSION['group'] !== 'admin')

{

$_SESSION['group']  = 'user';

}



авторизация....



$_SESSION['group']  = 'admin';



if($_SESSION['group'] === 'admin')

{

go...

}