session hijacking

alessandromonti

Utente Attivo
25 Mar 2012
62
0
0
salve...
ho pag log_in.php di accesso all'area riservata

PHP:
<?php
include 'core/init.php';
if (empty($_POST) === false) {  //...seguono i controlli vari sulle variabili inserite
	
?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<meta name="viewport" content="width=device-width, initial-scale=1.0" /> <!--per gli smartphone-->
<title>log in</title>

</head>
<body>
<form action="" method="POST" id="form1" >
    <fieldset>
         <p>
          <label for="username" >Username:</label>
          <input type="text" name="username" id="username" />
        </p>
       
        <p>
          <label for="password" >Password:</label>
          <input type="password" name="password" id="password"  />
        </p>
        
     <input type="submit" name="button" id="button-acc" value="Accedi" />

     <input type="reset" name="button-rip" id="button-rip" value="Ripristina" />  
            
  </fieldset>
</form> 
</body>
</html>

per cercare di limitare il session hijacking e session fixation ho messo all'inizio di init.php questo script:

PHP:
ini_set('session.cookie_secure',1);
ini_set('session.cookie_httponly',1);
ini_set('session.use_only_cookies',1);
session_start();

if (isset($_SESSION['last_ip']) === false){
   $_SESSION['last_ip'] = $_SERVER['REMOTE_ADDR'];
}
if ($_SESSION['last_ip'] !== $_SERVER['REMOTE_ADDR']){
	session_unset();
	sessioon_destroy();
}

...lo script per il session hijacking e fixation è al posto giusto?
...mi devo preoccupare del session hijacking e fixation solo in caso di form di accesso a dati sensibili o per qualsiasi tipo di formi?

grazie
 
Discussioni simili
Autore Titolo Forum Risposte Data
L login e session PHP 4
max1974 Session Timeout Javascript 0
L [PHP] login e protezione pagine con session PHP 3
P [PHP] Multi-session PHP 1
Y [PHP] The session is lost PHP 8
G [PHP] Problema - Warning: session_start() [function.session-start] PHP 9
L [WordPress] creare un plugin , come faccio ad utilizzare le session. WordPress 5
M [Java] Session Attribute Spring MVC Java 1
M [PHP] ID in SESSION PHP 1
P Session e cookie funzionano solo dopo passaggio valori tramite POST PHP 8
W Session e htaccess PHP 2
M Non aggiorna valore session PHP 5
Nik Cannot send session cache limiter - ERRORE utilizzando session_start(); PHP 3
I registrazione (SESSION) PHP 5
K problemi con nome della session PHP 3
N Problema con le SESSION PHP 6
P problema salvataggio e richiamo SESSION PHP 0
M Session timeout in ASP.NET ASP.NET 1
S VS2010: Variabili Session in ASP net ASP.NET 2
Emix Problema Session PHP 1
S codeigniter session problem PHP 1
A Problema SESSION e LOGIN PHP 1
T Cambiare session id PHP 1
Monital Errore solo per alcuni utenti, colpa delle session? PHP 5
Fabrizio Fiorita header e session funzionano perfettamente in locale ma creano problemi in remoto PHP 32
J PhPBB , e le session di login phpBB 1
helpdesk Nessuna session start in login PHP PHP 12
S session come mettere l'id utente PHP 1
G problema con session.gc_maxlifetime PHP 3
T problema con le session PHP 3
ciacos74 PHP errore function.session-start PHP 25
max_400 blog con session si può fare? PHP 10
M problema con Session PHP 3
M Problema con l'utilizzo delle Session PHP 3
H Warning: session_start() [function.session-start]: Cannot send session cache limiter PHP 8
foki problema misterioso session ID PHP 30
A session sid PHP 12
borgo italia session evanescente PHP 4
G problema con session.cookie_lifetime PHP 1
A session start() PHP 7
L Session o cookie? Classic ASP 3
M Warning: session_start(): Cannot send session cache... ???? PHP 5
P problema sessioni php [function.session-start] PHP 2
L Abbinare ad una session un determinato valore Classic ASP 16
L Più session Classic ASP 1
A problema con Session Classic ASP 4
T variabili session Classic ASP 2
E passaggio parametro con session Classic ASP 0
D Aprire più session..come?? Classic ASP 9

Discussioni simili