Jump to content
Sign in to follow this  
cabaçonophp

encerramento de sessão e segurança

Recommended Posts

glr, bom dia....

 

Criei um sistema em php, mas quanto fiz teste de usar urls independentes....o sistema esta aberto.

 

Por exemplo:

criei o código de logout, usando:

unset($_session);

unset($_cookie);

destroy session();

 

quando copiei uma url no browser, por exemplo: meudominio/dashboard.php

 

o sistema permite acesso a barra de navegação e algumas funções do sistema....problema bizarro de segurança!!

 

Como resolvo isso?

 

Obrigado,

Share this post


Link to post
Share on other sites

Como você está fazendo a restrição do acesso no arquivo dashboard.php?

Share this post


Link to post
Share on other sites

Criei uma classe que valida usuários e exige 'user' e 'senha' no arquivo index.

 

A partir dele os arquivos php, vão sendo chamados no código através de session_start() e link direto do nome do arquivo php.

 

index utiliza javascript de validação:

 

<script type="text/javascript">
$('#inputPassword').on('keypress',function(e){
var code = e.keyCode || e.which;
if(code == 13){
e.preventDefault();
if($(this).val() != ''){
}
$('#btnLogin').trigger('click');
}
});
$('#btnLogin').click(function(){
var login = $('#inputEmail').val();
var senha = $('#inputPassword').val();
$.post('/app/login.php',{inputEmail: login, inputPassword: senha},function(data){
console.log(data);
if(data === 'OK'){
location.reload();
}else{
$('#myModal').modal('show');

 

ai o processo passa para a classe de validação e conexão com o banco (CMS)...a partir daqui é tudo via session_start(), chamando arquivos php e call nas procedures.

 

Ajuda? estou em outra máquina e sem o código

 

vlw..

Share this post


Link to post
Share on other sites

Se você efetivamente não validar em todo arquivo se a sessão/cookie existe, por óbvio que se o usuário passar direto o nome do arquivo ele vai acessar sem problemas...

Share this post


Link to post
Share on other sites

Trabalhando de maneira não tão adequada eu faria assim...

function session(){
	@session_start();
	if ($_SESSION['s_login'] == NULL){
		header('location: ../index.php');
		}
}

Ai em cada pagina que fosse "protegida" eu no inicio dela colocaria assim

session();

Geralmente eu crio uma pagina e faço include do header ai então eu só faço essa chamada uma única vez no header da página restrita...

  • +1 1

Share this post


Link to post
Share on other sites

legal boinaverde....uma dúvida:

 

tenho as páginas/arquivos:

páginas/arquivos - index, dashboard, visitas, cadastro

arquivo - navbar (chamo ele em todas as páginas, para fazer a barra de navegação do app)

class - CMS

 

como a navbar é chamada depois do session_start, não preciso incluir essa função nela certo?

 

obrigado

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • Similar Content

    • By Caio Vargas
      Boa tarde pessoal blz ?
      Estou com uma dúvida sobre implementação do checkout transparente do mercado pago 
       
      Alguém já fez essa implementação eu estou com dúvida sobre a documentação que não estou conseguindo intender 
       
      Pelo botão eu só consigo insistir um produtos só então a opção correta seria o checkout transparente mesmo se alguém puder me ajudar agradeço 
    • By joeythai
      Bom dia pessoal, minha dúvida é simples, vi que alguns arquivos xml tem a saída de data desta forma  "2020-01-22T09:18:50", como faço pra imprimir a data desta forma ? E o que significa esse T?]
      Eu estou usando o Carbon, to tentando encontrar esse padrão na documentação.
      2018-05-29T17:47:57 2018-05-29T17:47:57
    • By Sapinn
      Resolvi atualizar meu xampp para a versão 7.4.14 e estou com um erro de Internal Server Error que fica em um projeto que estou usando htacess para fazer urls amigáveis o arquivo usados são:
      Arquivo externo:
       
      <IfModule mod_rewrite.c>
          RewriteEngine on
          RewriteRule ^$ public/ [L]
          RewriteRule (.*)public/$1 [L]
      </IfModule>
       
      Dentro da pasta public:
       
      <IfModule mod_rewrite.c>
          Options -Multiviews
          RewriteEngine On
          RewriteBase /unset_mvc/public
          RewriteCond %{REQUEST_FILENAME} !-d
          RewriteCond %{REQUEST_FILENAME} !-f
          RewriteRule ^(.+)$ index.php?url=$1 [QSA,L]
      </IfModule>
       
      Dentro da pasta app:
      Options -Indexes
       
      Preciso de ajuda porquê não sei o que fazer, já tentei apagar algumas coisas no httpd.conf dentro do xampp mas não funcionou.
    • By violin101
      Caros amigo, saudações...

      por favor, me perdoa se postei na opção errada.
       
      estou com a seguinte dúvida.
       
      tenho o seguinte código no cadastro: 1234 0000 4320 9785
       
      como consigo mostrar /inibir os números no meio, para o usuário desta forma: 1234********9785
       
      Grato,
       
      Cesar
    • By Rodrigo5468
      Olá, boa tarde!
       
      Eu estava procurando na internet, mas não obtive nenhum resultado significativo.
      Eu preciso de um script em php que converte os links do youtube para o formato .mp4. Como que eu posso fazer isso? Alguma dica?
      Quero que quando o usuário informa o link do youtube no input e clica no botão de converter baixe o vídeo e faz a conversão para .mp4 e fornece para o usuário o link convertido para .mp4.
       
       
      Obrigado desde já.
×

Important Information

Ao usar o fórum, você concorda com nossos Terms of Use.