banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Messages posted by: ACE_AnGeL  XML
Profile for ACE_AnGeL Messages posted by ACE_AnGeL [ number of posts not being displayed on this page: 0 ]
 
Một chủ đề hay vậy mà dừng ngang rồi Hix
Vậy mình muốn hỏi là trong hàm Include của mình có tôn tại 1 biến Nhưng đó là biến toàn cục
Biến toàn cục đó mình đã khai bảo rồi.
Ví dụ : include(ROOT."abc/abc.php"); thì liệu có bị lỗi này ko vậy Thanks!
Mình đang làm đồ án xây dựng và bảo mật 1 trang web
Mình còn rất gà về bảo mật Hix
Mình muốn các bạn góp ý giúp mình về vấn đề xác thực quyền admin

Mình xác thực quyền admin với cơ chế như sau:

Đăng nhập :
- Lọc input để chống sql injection và XSS bằng hàm stripslashes nếu dùng PHP version 4.3.0 trở lên và addslashes nếu dùng PHP dưới version 4.3.0

- Xác thực captcha

- Nếu đăng nhập thành công
+ Tạo 1 biến $_SESSION['ID'] = ID user
+ Ghi vào bảng session trong CSDL 1 trường với ID user + session_id đã được mã hóa + time expires
+ Chuyển đến trang admincp

- Trang admincp xác thực quyền cơ chế như sau:
+ Với $_SESSION['ID'] được tạo sẽ truy vấn vào CSDL kiểm tra session_id trùng và time hiện tại > time expires nếu trùng thì xác nhận quyền admin.

- Logout : xóa session_id và time expires trong bảng session

Như vậy, nếu vào trang admin mà ko đăng nhập sẽ ko thể vào được vì thời gian session_id và time expires ko hợp lệ

Vậy mình muốn các bạn tư vấn cho có thể vượt qua được ko và cách làm ra sao.

Mong các bạn góp ý

Thanks!
Có cùng thắc mắc với bạn này Mong đc giải đáp Hix
Mình muốn hỏi các bạn pro hơn về lĩnh vực : Các phương thức tấn công CSDL Mysql qua 1 website
và các cách phòng chống
Mình đang xây dựng 1 website bằng php và mysql
Mong các bạn giúp đỡ smilie
 

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|