oh ok, primero que nada muchas gracias por tu tiempo.
no sabia que el hecho de usar session implicaba cookies, como no las usaba explisitamente. bueno eh seguido investigando y creo que implementare esto:
Código PHP:
if (!isset($_SESSION['empeso']))
{
session_regenerate_id();
$_SESSION['empeso'] = true;
}
if (isset($_SESSION['HTTP_USER_AGENT']))
{
if ($_SESSION['HTTP_USER_AGENT'] != md5($_SERVER['HTTP_USER_AGENT'].'abcde'))
{
header("location: error.php");
exit;
}
}
else
{
$_SESSION['HTTP_USER_AGENT'] = md5($_SERVER['HTTP_USER_AGENT'].'abcde');
}
que opinan de eso? cres que este mejor? eso iria al principio cad apagina que se visita. por ciero, en el post anterior olvide comentar que en cada pgina, para validar si el usr esta logeado pongo esto
Código PHP:
if ( $_SESSION["PERFIL"]!=2 )
{ echo "zona restringida"; .......
respecto a XSS, te refiere a no desplegar texto en al pagina proveniente del port o get (por ejemplo) no? eso ya lo tengo implementado pero aun asi le dare una revisada a mi codigo para ves que no se me halla escapado alguna.
entonces que opinan?
por cierto, por "hashear" te refieres a cosas como md5? bueno se que la pregunta es unpoco obio pero por que lo recomiendas? que riesgos hay si no?
espero tengan tiempo de seguir respondiendome.
muchas gracias.