Tenho umas dúvidas com relação à segurança de login e proteção às páginas.
Eu tenho noção de como fazer um login. Faço mais ou menos da seguinte forma:
Realizo o select no banco de dados informando dados como usuário e senha enviados;
Destes eu retiro caracteres perigosos para evitar um SQL injection e faço o select com eles "Limpos" ;
Se o login validar, eu crio uma SESSAO que leva o ID do usuário e suas permissões de acesso;
Nas páginas a serem acessadas eu verifico a existencia da SESSAO onde eu guardei o ID, se existir , o usuário acessa a página, caso contrário, ele volta para a tela de login.
Porém , li certa vez em um site que é possível criar sessões falsas, fazendo com que o fraudador consiga acessar as páginas onde eu estaria verificando a existência da SESSAO para validar o acesso.
É aí que está minha dúvida: isso realmente é possível? Como eu poderia evitar esse tipo de fraude? Já não basta eu evitar as injeções de SQL?
Pergunta
Mario Junior
Boa tarde.
Tenho umas dúvidas com relação à segurança de login e proteção às páginas.
Eu tenho noção de como fazer um login. Faço mais ou menos da seguinte forma:
Realizo o select no banco de dados informando dados como usuário e senha enviados;
Destes eu retiro caracteres perigosos para evitar um SQL injection e faço o select com eles "Limpos" ;
Se o login validar, eu crio uma SESSAO que leva o ID do usuário e suas permissões de acesso;
Nas páginas a serem acessadas eu verifico a existencia da SESSAO onde eu guardei o ID, se existir , o usuário acessa a página, caso contrário, ele volta para a tela de login.
Porém , li certa vez em um site que é possível criar sessões falsas, fazendo com que o fraudador consiga acessar as páginas onde eu estaria verificando a existência da SESSAO para validar o acesso.
É aí que está minha dúvida: isso realmente é possível? Como eu poderia evitar esse tipo de fraude? Já não basta eu evitar as injeções de SQL?
Muito obrigado desde já.
Link para o comentário
Compartilhar em outros sites
2 respostass a esta questão
Posts Recomendados
Participe da discussão
Você pode postar agora e se registrar depois. Se você já tem uma conta, acesse agora para postar com sua conta.