Вся правда о PHP сессиях.

Вся правда о PHP сессиях.

Многие PHP-приложения используют сессии. В этой статье мы детально рассмотрим возможность реализации безопасного механизма по управлению сессиями на PHP. После того, как мы рассмотрим основу веба, познакомимся с проблемой сохранения состояния, основами применения кукисов, я поведаю вам о нескольких простых и эффективных методов, позволяющих обеспечить надежность и безопасность PHP-приложений, которые нуждаются в сохранении состояния.

Многие наивно верят в слухи о том, что PHP предоставляет высокий уровень безопасности вместе со своими базовыми функциями управления сессиями. Но это далеко не так, наоборот, это служит отличным механизмом для злоумышленников, а для того чтобы обеспечить законченное решение и существуют разработчики. Чтобы обеспечить решение данной проблемы нету единого метода решения, который подойдет для всех случаев.

Протокол HTTP, который предназначен для передачи гипертекста – это движущая сила веба, он не поддерживает сохранения состояния.

Это связанно с тем, что он не включает в себя того, что необходимо для идентификации браузером при каждом запросе и с отсутствием постоянного установленного соединения между веб-сервером и браузером, которое сохранялось бы на каждой странице. Вот смотрите: каждый раз когда пользователь заходит на веб-сайт, браузер отсылает определенный запрос серверу, который в результате отсылает назад HTTP-ответ. Это своеобразная завершенная HTTP-транзакция, произошедшая в результате взаимодействий.

В связи с тем, что обмен информацией в веб-среде основывается на HTTP, сохранение состояния в веб-приложениях может оказать для разработчиков очень не простой задачей. Кукисы – это своего рода расширение HTTP-протокола, их ввели чтобы обеспечить сохранение состояния HTTP-транзикаций, но многие считают что нужно отключить поддержку кукисов, чтобы обеспечить конфиденциальность. Отчет о состоянии может передаваться через URL, но его могут случайно раскрыть, что делает этот способ не безопасным. По сути, сохранению состояния требуется только идентификация клиента, но для людей, которые задумываются о безопасности приложения важен тот факт, что нельзя доверять информации, которая была посла пользователем.

Не взирая на все трудности, есть множество способов решения данной проблемы. Понятно что все они не идеальны, т. к. это практически не возможно. В статье будет раскрыто несколько безопасных способов, которые обеспечат возможность сохранения состояния, которые защитят от атак основанных на сессиях (ВСД – выдача себя за другого, другими словами подделка сессий). Также вам будет доступна информация о том, как же на самом деле работают кукисы, для чего нужны PHP-сессии и что необходимо для подмены сессий.


Карта сайта


Информационный сайт Webavtocat.ru