Codeigniter. Уязвимости

10.03.2011

Очень много хвалебных отзывов звучит в сторону безопасности Codeigniter. И это не пустые слова. Но, порой, при проектировании люди забывают о банальных вещах, открывая двери злоумышленникам.

Уязвимость может обнаружиться в сессиях CI. Сессии, как известно могут хранится в БД и Coockies. Стандартный механизм сессий CI не поддерживает. По умолчанию Codeigniter юзает coockies, данные в которых не шифруются. Допустим, вы храните в сессии данные, которые не должен знать пользователь. Но ради любопытства он заглянул в cookies и увидел там то, что не должен. А вот этот как раз и есть серьезная уязвимость.

Выходов, как всегда, несколько. Самый сложный - перепроекторовать систему так, чтобы она не отдавала важные данные в кукисы. Второй способ заключается в шифровании сессии. Вернее, данных, которые записываются в кукисы. Для того, чтобы включить эту возможность, открываем файл с конфигами system/application/config/config.php и изменяем:

$config['encryption_key'] = "";
на
$config['encryption_key'] = "ваш кей";

$config['sess_encrypt_cookie'] = FALSE;
на
$config['sess_encrypt_cookie'] = TRUE;

И, наконец, самый простой способ - использовать БД в качестве места хранения сессий. Как это делается можно прочитать в мануале, так что долго останавливатся на этом не буду.

Теги: codeigniter , защита контента , php ,
Категории: php ,
просмотров: 652

Рекомендуемые записи

Прикручиваем Smarty к CodeIgniter
Codeigniter. Русские символы в адресной строке
CodeIgniter. Точка в строке запроса

Комментарии

Нет комментариев

добавить комментарий

Ваше имя: *
Ваш email: *
Ваш сайт:
Комментарий: *
*
Получать комментарии на email

Популярные

10 причин, чтобы отказаться от алкоголя и одна – чтобы употреблять алкоголь

Комментариев: 60 | просмотров: 13115
01.09.2009

50 фильмов, которые стоит посмотреть

Комментариев: 16 | просмотров: 37578
16.07.2009

О вреде микроволновой печи

Комментариев: 10 | просмотров: 5599
13.12.2009

Весело, весело встретим Новый GOD

Комментариев: 9 | просмотров: 2844
17.12.2009

Пропал контакт лист в qip

Комментариев: 8 | просмотров: 2435
04.06.2010

Библия. Книга Судей. Глава 19

Комментариев: 8 | просмотров: 2362
30.08.2009

Масонская символика на долларе

Комментариев: 6 | просмотров: 9193
03.03.2009

Категории

Календарь

ПнВтСрЧтПнСбВс
1234
567891011
12131415161718
19202122232425
262728293031

Цитаты

Те безрассуднее скотов, кто утоляет жажду не водой, а вином

Диоген