Tema: Como eliminar las variables (session_start();
Ver Mensaje Individual
  #6 (permalink)  
Antiguo 18/06/2012, 19:10
Avatar de Triby
Triby
Mod on free time
  
Fecha de Ingreso: agosto-2008
Ubicación: $MX->Gto['León'];
Mensajes: 10.106
Antigüedad: 15 años, 8 meses
Puntos: 2237
Respuesta: Como eliminar las variables (session_start();
PHP NO es inseguro, claro, con algunas deshonrosas y raras salvedades, casi siempre los riesgos de seguridad son culpa del programador.

Por ejemplo, estás actuando para evitar el robo de sesiones, pero no veo que hagas una validación de usuario.

Código PHP: 
Ver original
  1. // OK, estás iniciando sesión, no hay mayor problema
  2.     session_name("nombre_session");
  3.     session_start();
  4.     // Creas una cadena de validación (o eso creo)
  5.     $secret=md5(uniqid(rand(), true));
  6.     // Asignas esa cadena a variable de sesión
  7.     $_SESSION['FORM_SECRET'] = $secret;
  8.     // Eliminas todo lo que hay en variables de sesión!!!!
  9.     $_SESSION = array();
  10.     // Después de la línea anterior, no hay forma de saber si se trata de un usuario
  11.     // con sesión iniciada o si cuenta con los permisos para ingresar a la página

Por sí mismos, session_start() y el uso de $_SESSION no te garantizan seguridad en absoluto, simplemente te permite guardar variables para "compartirlas" entre diferentes páginas de tu sitio, la seguridad depende completamente de ti.

Te recomiendo buscar alguno de los aportes de sesiones que hay aquí mismo en FDW y con eso podrás evitar accesos no permitidos.
__________________
- León, Guanajuato
- GV-Foto