alireza82
Well-Known Member
البته یه چیز دیگه هم در مورد سشن ها کمک میکنه که
اول از همه شما باید هاست رو از یه جایی تهیه کنید که مسئولاش اجازه استفاده از php.ini ی شخصی رو بهتون بدن. در واقع اجازه بدن با استفاده از این فایل شما تنظیمات خاص خودتون رو اعمال کنید. اگر همچین هاستی دارید!
فایل php.ini ور باز و دنبال
بگردید. این مکانی هست که سشن ها در اون ذخیره میشن به صورت دیفالت روی هاست های ویندوز در فولدری به نام tmp و در لیوکس ها تو فلدری به نام temp ، حالا به این مکان دلخواه خودتون رو بدید ( روی هاست های شیر پیشنهاد میکنم حتما این کار رو بکنید)
البته بهتر این فولدری که آدرس میدد فولدری خارج از www یا public_htm باشه! که دسترسی بهش فوق العاده برای آدم های بد ! سخت شه!
در مورد hiden حقیقتش من ندیدم زیاد این کار رو انجام بدن مگر تو جاهایی که فرم داره رد و بدل میشه! ولی بازم ندیدم به عنوان شناساگر شخص و یه نکته امنیتی استفاده شه ! شایدم بشه ولی من تا حالا جایی ندیدم و نخوندم.
اما در مورد دیتابیس با اون هم میشه یه کارایی کرد اما اونم نیاز به استفاده از سشن ها و کوکی ها داره تا شما بفهمید باید اطلاعات کدوم سطر رو استفاده کنید. در واقع اگر اطلاعات کار بر رو بریزید تو db و از اون بخواید کار بکشید باید یه چیزی برای انتخاب سطر کاربر داشته باشید که باز مستلزم استفاده از سشن ها و کوکی هست! پس دور زدن خودمون هست
اما تو بعضی اسکریپت ها دیدم که فقط SID آخرین سشن کاربر ها رو برای اطلاع نگه میدارن. حالا چرا نگه میدارن نمیدونم آخه کاری باهاش نمیکردن! احتمالا روشی برای شناسایی نفوذگر ها هست مثل همون نگه داشتن IP که بعضی ها نگه میدارن!!!!
البته غیر از ریجنریت کردن سشن که در پست قبل مطلبی اومد راه های دیگه ای هم هست که معمول ترینش همون بالایی هست.
یکی دیگه از کارهایی که میشه کرد و بعضی ها استفاده میکنن البته همراه با ریجنریت سشن ریختن متغییر های
در سشن و چک کردن اون در ابتدای هر اسکریپت هست. به محض مشاهده تغییر در یکی از اونها کاربر رو مجبور به ورود مجدد میکنیم.
سشن ها بیشتر روی هاست های شیر مشکل ساز هستن!!!
موفق باشید
اول از همه شما باید هاست رو از یه جایی تهیه کنید که مسئولاش اجازه استفاده از php.ini ی شخصی رو بهتون بدن. در واقع اجازه بدن با استفاده از این فایل شما تنظیمات خاص خودتون رو اعمال کنید. اگر همچین هاستی دارید!
فایل php.ini ور باز و دنبال
کد:
session.save_pathالبته بهتر این فولدری که آدرس میدد فولدری خارج از www یا public_htm باشه! که دسترسی بهش فوق العاده برای آدم های بد ! سخت شه!
در مورد hiden حقیقتش من ندیدم زیاد این کار رو انجام بدن مگر تو جاهایی که فرم داره رد و بدل میشه! ولی بازم ندیدم به عنوان شناساگر شخص و یه نکته امنیتی استفاده شه ! شایدم بشه ولی من تا حالا جایی ندیدم و نخوندم.
اما در مورد دیتابیس با اون هم میشه یه کارایی کرد اما اونم نیاز به استفاده از سشن ها و کوکی ها داره تا شما بفهمید باید اطلاعات کدوم سطر رو استفاده کنید. در واقع اگر اطلاعات کار بر رو بریزید تو db و از اون بخواید کار بکشید باید یه چیزی برای انتخاب سطر کاربر داشته باشید که باز مستلزم استفاده از سشن ها و کوکی هست! پس دور زدن خودمون هست
اما تو بعضی اسکریپت ها دیدم که فقط SID آخرین سشن کاربر ها رو برای اطلاع نگه میدارن. حالا چرا نگه میدارن نمیدونم آخه کاری باهاش نمیکردن! احتمالا روشی برای شناسایی نفوذگر ها هست مثل همون نگه داشتن IP که بعضی ها نگه میدارن!!!!
البته غیر از ریجنریت کردن سشن که در پست قبل مطلبی اومد راه های دیگه ای هم هست که معمول ترینش همون بالایی هست.
یکی دیگه از کارهایی که میشه کرد و بعضی ها استفاده میکنن البته همراه با ریجنریت سشن ریختن متغییر های
کد:
$_server['HTTP_USER_AGENT']
$_server['REMOTE_ADDR]سشن ها بیشتر روی هاست های شیر مشکل ساز هستن!!!
موفق باشید
