Задать вопрос
swaro
@swaro
Nice code - awesome bugs

Подвержен ли запрос SQL атаке по времени?

В моем проекте реализован самописный механизм сессий, который хранит идентификаторы в хешированном виде в базе данных postgresql (скажем, есть специальная таблица sessions с условными колонками user_id и session_key_hashed, где обе колонки индексируются). Каждый реквест php обращается к бд с запросом вида
select user_id from sessions where session_key_hashed = ?
где плейсхолдер = hash(algo, $_COOKIE["session_key"]). Может ли этот запрос быть подвержен атаке по времени?
  • Вопрос задан
  • 282 просмотра
Подписаться 3 Средний 2 комментария
Пригласить эксперта
Ответы на вопрос 2
freeExec
@freeExec
Участник OpenStreetMap
Технически да, ведь верхушка хеш дерева может либо сразу дать отлуп, что ни одного хеша с таким началом не существует, а может погружаться глубоко в дебри. Но ты что разрабатываешь защиту для пентагона?
Ответ написан
ThunderCat
@ThunderCat
{PHP, MySql, HTML, JS, CSS} developer
Не проще ли дописать дату создания сесcии и в запросе указывать интервал не более (жизни сессии)/(N суток)?
Алсо, можно удалять старые записи, если они не нужны для каких-либо статистик/метрик.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы