|
|
Một chủ đề hay vậy mà dừng ngang rồi Hix
|
|
|
Vậy mình muốn hỏi là trong hàm Include của mình có tôn tại 1 biến Nhưng đó là biến toàn cục
Biến toàn cục đó mình đã khai bảo rồi.
Ví dụ : include(ROOT."abc/abc.php"); thì liệu có bị lỗi này ko vậy Thanks!
|
|
|
Mình đang làm đồ án xây dựng và bảo mật 1 trang web
Mình còn rất gà về bảo mật Hix
Mình muốn các bạn góp ý giúp mình về vấn đề xác thực quyền admin
Mình xác thực quyền admin với cơ chế như sau:
Đăng nhập :
- Lọc input để chống sql injection và XSS bằng hàm stripslashes nếu dùng PHP version 4.3.0 trở lên và addslashes nếu dùng PHP dưới version 4.3.0
- Xác thực captcha
- Nếu đăng nhập thành công
+ Tạo 1 biến $_SESSION['ID'] = ID user
+ Ghi vào bảng session trong CSDL 1 trường với ID user + session_id đã được mã hóa + time expires
+ Chuyển đến trang admincp
- Trang admincp xác thực quyền cơ chế như sau:
+ Với $_SESSION['ID'] được tạo sẽ truy vấn vào CSDL kiểm tra session_id trùng và time hiện tại > time expires nếu trùng thì xác nhận quyền admin.
- Logout : xóa session_id và time expires trong bảng session
Như vậy, nếu vào trang admin mà ko đăng nhập sẽ ko thể vào được vì thời gian session_id và time expires ko hợp lệ
Vậy mình muốn các bạn tư vấn cho có thể vượt qua được ko và cách làm ra sao.
Mong các bạn góp ý
Thanks!
|
|
|
Có cùng thắc mắc với bạn này Mong đc giải đáp Hix
|
|
|
Mình muốn hỏi các bạn pro hơn về lĩnh vực : Các phương thức tấn công CSDL Mysql qua 1 website
và các cách phòng chống
Mình đang xây dựng 1 website bằng php và mysql
Mong các bạn giúp đỡ
|
|