salve...
ho pag log_in.php di accesso all'area riservata
per cercare di limitare il session hijacking e session fixation ho messo all'inizio di init.php questo script:
...lo script per il session hijacking e fixation è al posto giusto?
...mi devo preoccupare del session hijacking e fixation solo in caso di form di accesso a dati sensibili o per qualsiasi tipo di formi?
grazie
ho pag log_in.php di accesso all'area riservata
PHP:
<?php
include 'core/init.php';
if (empty($_POST) === false) { //...seguono i controlli vari sulle variabili inserite
?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<meta name="viewport" content="width=device-width, initial-scale=1.0" /> <!--per gli smartphone-->
<title>log in</title>
</head>
<body>
<form action="" method="POST" id="form1" >
<fieldset>
<p>
<label for="username" >Username:</label>
<input type="text" name="username" id="username" />
</p>
<p>
<label for="password" >Password:</label>
<input type="password" name="password" id="password" />
</p>
<input type="submit" name="button" id="button-acc" value="Accedi" />
<input type="reset" name="button-rip" id="button-rip" value="Ripristina" />
</fieldset>
</form>
</body>
</html>
per cercare di limitare il session hijacking e session fixation ho messo all'inizio di init.php questo script:
PHP:
ini_set('session.cookie_secure',1);
ini_set('session.cookie_httponly',1);
ini_set('session.use_only_cookies',1);
session_start();
if (isset($_SESSION['last_ip']) === false){
$_SESSION['last_ip'] = $_SERVER['REMOTE_ADDR'];
}
if ($_SESSION['last_ip'] !== $_SERVER['REMOTE_ADDR']){
session_unset();
sessioon_destroy();
}
...lo script per il session hijacking e fixation è al posto giusto?
...mi devo preoccupare del session hijacking e fixation solo in caso di form di accesso a dati sensibili o per qualsiasi tipo di formi?
grazie