[ BLACK_SWORD @ 06.05.2010. 21:29 ] @
Pozdrav,

e vako u skriptu za login sam stavio kada se korisnik uloguje da njegov id iz mysql baze spremi se u session, i sad sa tim id koji je spremljen u session provjeravam u mysql bazi dali korisnik ima status admin,

e vako:
Code:
//Provjera statusa administratora u mysql bazi.
$administrator=mysql_query("SELECT status FROM korisnici WHERE idkorisnici='".$_SESSION['idkorisnici']."'")or die('Nije izvršena provjera u bazi!');
$admin=mysql_fetch_array($administrator);


e sad mene zanima dali može hacker da mi sta ubrizga u bazu preko session (injection)?

Nadam se da ste razumjeli pitanje.

Hvala na odgovoru.
[ mitke013 @ 07.05.2010. 01:03 ] @
Citat:
BLACK_SWORD: Pozdrav,

e vako u skriptu za login sam stavio kada se korisnik uloguje da njegov id iz mysql baze spremi se u session, i sad sa tim id koji je spremljen u session provjeravam u mysql bazi dali korisnik ima status admin,

e vako:
Code:
//Provjera statusa administratora u mysql bazi.
$administrator=mysql_query("SELECT status FROM korisnici WHERE idkorisnici='".$_SESSION['idkorisnici']."'")or die('Nije izvršena provjera u bazi!');
$admin=mysql_fetch_array($administrator);


e sad mene zanima dali može hacker da mi sta ubrizga u bazu preko session (injection)?

Nadam se da ste razumjeli pitanje.

Hvala na odgovoru.


Ne moze, sadrzaj $_SESSION-a se drzi iskljucivo na serveru. Tvoj browser dobija jedino ID tog sessiona i salje ga tebi kao cookie. Sa tim ID-em ne moze ama bas nista da se radi. Ako uradis print_r ($_COOKIES), videces sve kukije ukljucujuci i session cookie.

Sa druge strane, XSS napad je upravo kradja tog session cookie-a; ideja je da se on iz tvog kompjutera prenese do losih momaka; ako si ti ulogovan kao admin, sa tim cookijem i on ce biti.
[ BLACK_SWORD @ 07.05.2010. 18:22 ] @
ok hvala na odgovoru