Как быть с сессиями?

Question

[dev400]

Как быть, если в любом месте в коде можно написать $_SESSION['user'] = 'admin';

Как защитить модификацию сессий?

Comments

[Максим Тимофеев]

Задайте себе другой вопрос "Как сделать так, что бы никто, кроме Вас не смог править код на сервере", тогда Ваш вопрос отпадет

[Fairlancer]

Максим Тимофеев: $_SESSION['user'] = md5('admin'); напишите в самом начале, пусть они хоть сто раз напишут, ключа у них всё равно не будет.

Answer 1

[DevMan]

зачем?
сессия мутабельна по определению. ну и кагбе писать в нее можете только вы, а себя красавца от выстрела в коленку мало что спасет))

если уж очень надо, то пишите свой врапер для сессий, который сможет сделать определеные значения имутабельными, и работать с сессиями исключительно и только через него.

ну а на практике вы пытаетесь решить "Как быть, если в любом месте в коде можно вызвать DROP TABLE users"
да никак не быть, просто думать головой. это несложно.

Answer 2

[ThunderCat]

мало ли что в коде написать можно, вы не путаете серверную часть с клиентской случайно?

Comments

[dev400]

нет, я про разработчиков, которые могут в дальнейшем заниматься проектом. Про то, что есть не совсем умнын

[Max Payne]

Андрей: Вам то что до этих разработчиков? Пускай правят как хотят..

Answer 3

[Fairlancer]

a) Во время дебага проводить проверку на повторы кода с помощью регулярки и Notepad++.
b) Кодить нужно на свежую голову, естественно не ночью)

Comments

[dev400]

я про других личностей, которые могут во время разработки какого нибудь модуля сделать $_SESSION['user'] = 'admin' и радоваться

[Fairlancer]

Андрей: Не могли бы вы объяснить, для чего давать доступ к своему коду неким личностям, если он предназначен для кодеров)

[dev400]

MrKursorik: бывают моменты когда сайт функционирует, и требуется расширить какой либо модуль, и дать доступ только к определенной папке. Если этот юзер сделает $_SESSION['user'] = 'admin' то он получит админку

Answer 4

[Vicom]

блин ну реально выше сказали вон)

- сделайте враппер, меняйте через какой-нибудь собственный

Session::setAccessLevel(Auth::ACCESS_GROUP_ADMIN);

.., который бы контролировать уже где это можно, а где нет через тот же debug_backtrace (и только так, типа) т.е.:

- сделайте запрет как-нибудь на прямую работу с _SESSION хз, или

- бейте по рукам при его вызове (всё должно быть по регламенту через свои интерфейсы/классы/обёртки или фреймворка. если человек делает c _SESSION / _GET / _POST etc. это уже насторожить должно, если апликуха написана на fw), на худой конец

- коменты / сопутствующие доки к проекту прилагайте, типа "так нельзя", "а тут сам себе злой оленевод будешь" и т.п.

.., а вообще от всех возможных чужих дуростей не спасёшься