Messages posted by: ACE_AnGeL

Một chủ đề hay vậy mà dừng ngang rồi Hix

Vậy mình muốn hỏi là trong hàm Include của mình có tôn tại 1 biến Nhưng đó là biến toàn cục
Biến toàn cục đó mình đã khai bảo rồi.
Ví dụ : include(ROOT."abc/abc.php"); thì liệu có bị lỗi này ko vậy Thanks!

Mình đang làm đồ án xây dựng và bảo mật 1 trang web
Mình còn rất gà về bảo mật Hix
Mình muốn các bạn góp ý giúp mình về vấn đề xác thực quyền admin

Mình xác thực quyền admin với cơ chế như sau:

Đăng nhập :
- Lọc input để chống sql injection và XSS bằng hàm stripslashes nếu dùng PHP version 4.3.0 trở lên và addslashes nếu dùng PHP dưới version 4.3.0

- Xác thực captcha

- Nếu đăng nhập thành công
+ Tạo 1 biến $_SESSION['ID'] = ID user
+ Ghi vào bảng session trong CSDL 1 trường với ID user + session_id đã được mã hóa + time expires
+ Chuyển đến trang admincp

- Trang admincp xác thực quyền cơ chế như sau:
+ Với $_SESSION['ID'] được tạo sẽ truy vấn vào CSDL kiểm tra session_id trùng và time hiện tại > time expires nếu trùng thì xác nhận quyền admin.

- Logout : xóa session_id và time expires trong bảng session

Như vậy, nếu vào trang admin mà ko đăng nhập sẽ ko thể vào được vì thời gian session_id và time expires ko hợp lệ

Vậy mình muốn các bạn tư vấn cho có thể vượt qua được ko và cách làm ra sao.

Mong các bạn góp ý

Thanks!

Có cùng thắc mắc với bạn này Mong đc giải đáp Hix

Mình muốn hỏi các bạn pro hơn về lĩnh vực : Các phương thức tấn công CSDL Mysql qua 1 website
và các cách phòng chống
Mình đang xây dựng 1 website bằng php và mysql
Mong các bạn giúp đỡ smilie