¿Se puede hacer con base64_encode de esta forma?
Código:
$_SESSION [$nombre] = $valor; base64_encode($_SESSION [$nombre]);
Muchas gracias.
13/12/2012, 02:06
| |||
| |||
| encriptacion de sesiones Buenos dias, estoy programando un area privada y quisiera encriptar las sesiones. ¿Se puede hacer con base64_encode de esta forma?
Código:
$_SESSION [$nombre] = $valor; base64_encode($_SESSION [$nombre]); Muchas gracias. |
|
13/12/2012, 03:23
| |||
| |||
| Respuesta: encriptacion de sesiones Creo que sí, pero me parece que tiene que ser así. $_SESSION [$nombre] = base64_encode($valor); Porque así guardas en $_SESSION lo que tenga $valor ya encriptado. Aunque espera a ver si alguien te da una respuesta más concreta |
|
13/12/2012, 05:23
| ||||
| ||||
| Respuesta: encriptacion de sesiones Si queres te recomiendo que uses $_SESSION[$nombre] = sha1(md5($valor)); o convina cuantos hash quieras, esto para que el usuario no pueda desenredar la piola tan facil con un colisionador de hash si eso es lo que quieres |
|
13/12/2012, 09:56
| |||
| |||
| Respuesta: encriptacion de sesiones Hoal amigos leyendo este post me surge una duda. Es una buena práctica encriptar las variables de sesiones ?? Tengo una web y cuando el usuario se loguea, asigno variables de sesion con el nombre, apellido, su id. Sería bueno que las encripte ?? que riesgo corro ahora que no las tengo encriptadas ? Gracias. |
|
13/12/2012, 13:16
| ||||
| ||||
| Respuesta: encriptacion de sesiones Las variables de sesión se guardan en el servidor, por lo que realmente no tiene caso encriptarlas, lo que se debe evitar es que usuarios malintencionados tengan acceso a esa sesión. Tal vez sirva de algo leer esto: http://www.forosdelweb.com/f18/aport...8/#post4265380 |
|
13/12/2012, 13:28
| |||
| |||
| Respuesta: encriptacion de sesiones Gracias Triby, Pero entonces de que me serviría encriptarlas ? en mi caso que no las tengo encriptadas, o en que situación se recomienda hacerlo y cual no. Muchas Gracias. |
|
13/12/2012, 13:37
| ||||
| ||||
| Respuesta: encriptacion de sesiones Cita: Alguna parte de esa frase no quedó del todo clara?
Iniciado por Triby ... realmente no tiene caso encriptarlas ... Si te queda alguna otra inquietud respecto a cómo alguien puede robarse una sesión, quiere decir que no leiste el enlace que sugerí.  |
|
13/12/2012, 14:02
| ||||
| ||||
| Respuesta: encriptacion de sesiones Aunque tuviera utilidad (que como bien explica triby, todo esto se genera de lado del servidor), qué sentido tiene cifrarlo (encriptar es una mala traducción de encrypt) en base64 cuando fácilmente podemos hacer un decode? Tendrías que buscar un cifrado reversible basado en una key/salt |
|
13/12/2012, 14:15
| |||
| |||
| Respuesta: encriptacion de sesiones independientemente de encriptar o no las sessiones , deberias configurar correctamente las directivas de las sessiones , ya que veo que le preocupa la seguridad. ini_set('session.hash_function','whirlpool'); // md5 es el algoritmo por defecto para no propagar el id por url ini_set('session.use_trans_sid',0); ini_set('session.use_cookies',1); ini_set('session.use_only_cookies',1); solo sera accesible la cookie desde http y no sera accesible para lenguajes de script ini_set('session.cookie_secure',0); ini_set('session.cookie_httponly',1); saludos amigos :O |
| Etiquetas: |
