Burlar Uma Session

[George]

to criando um sistema simples de login através de sessions...

isso aqui é pra verificar se está logado ou não:

if ($_SESSION['logado'] == 1) {
   ...
} else {
   echo '<script>location.href = "login.php"</script>'; //redireciona pra página de login
}

a minha dúvida é: isso é seguro? existe jeito de burlar essa session, fazendo com o que a página pense que a session 'logado' é '1'?

[searching_]

Fala George!

Cara, isso é uma forma muito usada. Mas eu (particularmente) acho melhor perguntar ao serv se é verdadeiro. Tipo:

if($_SESSION['login']){
header("location:logado.php");
}else{
echo "Saí daí!";
...
}

Cara, espero que seja isso porque foi isso que entendi!

aquele abraço!

[brunohcs]

bom, eu acredito que seja seguro.. e se não for o segundo code postado terá o mesmo problema!

[George]

é verdade...sabe, eu pensei o seguinte:

imagine um sistema de login que envie as variáveis por GET: index.php?logado=sim. Isso logicamente não é seguro porque é apenas digitar o endereço com a variável que o sistema pensa que está logado. Nesse caso ele estaria simulando a variável. Mas será que dá pra fazer algo do tipo com as sessões?

[brunohcs]

se tu não tiver usando o $_SESSION pra pega a var sim da não é?.. mas se tu está usando eu nunca ouvi fala em nd referente..

agora se você não tiver usando o $_SESSION ai é problema porque memo a var enviada via get ?logado=1 vai funciona