sesiones seguras

StrikeFreedom · #1 (**permalink**) 17/02/2007, 10:00

hola, queria preguntarles como puedo hacer una sesion segura y que ninguna persona ajena tenga acceso a ellas.

cuando hago el logeo del usuario, guarda en sesiones sus datos para mostrarlos en las demas paginas.

Código PHP:

  $_SESSION['clie_nomb']=$fields["clie_nomb"]; 
$_SESSION['clie_dire']=$fields["clie_dire"]; 
$_SESSION['clie_ruc']=$fields["clie_ruec"];

Pero hay una forma mas segura de hacer eso?

dicen que hay personas que tienen acceso a las sesiones mediante el ID de sesion.

Pueden ayudarme?

pd: ya falta poco para terminar mi proyecto.

locojars · #2 (**permalink**) 17/02/2007, 10:44

Quiza si codificas tu session te resulte mas seguro, aquí te dejo un link dond ehay una clase que te puede ayudar a hacer esto:
http://www.phpclasses.org/browse/package/3694.html

Espero te sirva.
Salu2,
Jars.

StrikeFreedom · #3 (**permalink**) 17/02/2007, 10:58

Gracias por la info, pero para descargar el archivo me pide registrarme, bueno tendre que hacerlo, aunque tambien encontre un codigo en google:

Código PHP:

  <?php 
function sess_open($sess_path, $session_name){ 
global $_SEC_SESSION; 
$sess_sec=ini_get('session.name')."_sec"; 
 
# Apart from the session cookie we set another one, with the same name plus 
# '_sec' at the end 
# On that cookie, we set a random 32byte string (I'll refer to this string  
# as 'key') 
 
if (!isset($_COOKIE[$sess_sec])){ 
$md5=md5(uniqid('')); 
setcookie($sess_sec,$md5,ini_get('session.cookie_lifetime'), 
ini_get('session.cookie_path'), 
ini_get('session.cookie_domain')); 
$_SEC_SESSION['int']['key']=$_COOKIE[$sess_sec]=$md5; 
$_SEC_SESSION['data']=serialize(array()); 
$empty=1; 
} session) 
else{ 
$_SEC_SESSION['int']['key']=$md5=$_COOKIE[$sess_sec]; 
} 
 
# The name of the file that contains the session info, 
# starts with 'sec_sess_' and it's followed by the md5 string of the 
# session_id concatenated with the previous key. 
# This avoids people of reading the ID of the session from the session files  
# (to hijack the 
$_SEC_SESSION['int']['filename']=$filename_sec="$sess_path/sec_sess_".md5(session_id().$md5); 
if (isset($empty)){ 
return 1; 
} 
if (!file_exists($filename_sec)){ 
fclose(fopen($filename_sec,'w')); 
} 
if (!$_SEC_SESSION['int']['fd']=fopen($filename_sec,'r')){ 
$_SEC_SESSION['data']=serialize(array()); 
return 0; 
} 
 
# The data on that file is dedrypted using the previous key 
 
$data_enc=fread($_SEC_SESSION['int']['fd'],filesize($filename_sec)); 
fclose($_SEC_SESSION['int']['fd']); 
if ($data_enc!=''){ 
$cipher=MCRYPT_DES; 
$data=@mcrypt_ecb($cipher,$_SEC_SESSION['int']['key'],$data_enc,MCRYPT_DECRYPT); 
}else{$data='';} 
$_SEC_SESSION['data']=$data; 
$_SEC_SESSION['int']['hash']=md5($_SEC_SESSION['data']); 
return 1; 
} 
function sess_close(){ 
return true; 
} 
function sess_read($key){ 
return $GLOBALS['_SEC_SESSION']['data']; 
} 
function sess_write($id,$data){ 
global $_SEC_SESSION; 
$sd=$data; 
if ($_SEC_SESSION['int']['hash'] != md5($sd)){ 
$fd=fopen($_SEC_SESSION['int']['filename'],'w'); 
$cipher=MCRYPT_DES; 
# Here we crypt the data with our key... 
$data=@mcrypt_ecb($cipher,$_SEC_SESSION['int']['key'],$sd,MCRYPT_ENCRYPT); 
fputs($fd,$data); 
fclose($fd); 
chmod($_SEC_SESSION['int']['filename'],0600); 
} 
 
} 
function sess_destroy($key){ 
return(@unlink($GLOBALS['_SEC_SESSION']['int']['filename'])); 
} 
function sess_gc($maxlifetime){} 
 
session_set_save_handler('sess_open','sess_close','sess_read','sess_write','sess_destroy','sess_gc'); 
session_start(); 
if (!isset($_SESSION['times'])){ 
$_SESSION['times']=0; 
} 
$_SESSION['times']++; 
print "This session ID is: ".session_id(). 
" but the name of the file that contains the data is ". 
$_SEC_SESSION['int']['filename']."n"; 
 
print "Btw, this is the ".$_SESSION['times']." you see this page ;) (it works!)n"; 
?>

Sinceramente no entiendo este codigo

Aun me falta aprender mas.