Salve,
Ok vad ca nu ne intelegem.
Sa zicem ca am un server dedicat web+php, la care nu ofer cont de shell
pentru nimeni, si ca am multe pagini care trebuie sa suporte php. Exista
niste functii in php session_start(), session_register(), cu ajutorul caruia
tu poti salva datele pe care le primesti intr-un form, sa zicem ca ai trei
forme una dupa alta si sa mai zicem ca in ultima forma tu faci anumite
lucruri cu toate datele pe care l-ai primit pana atunci. Momentan imi vin
minte trei variante:
1) in fiecare pagina pui cu type=hidden informatiile din formele anterioare
2) le arunci intr-un database si le scoti la sfarsit
3) sau folosesti session unde ai marele avantaj ca o variabila inregistrata
ramane atata timp cat traieste clientul si nu mai trebuie de fiecare data sa
interoghezi serverul.
Ei bine am descoperit ca in momentul in care folosesti session_register (asa
se salveaza o variabila in php in modul spus de mine) in /tmp/sess_$ses_id
sunt trecute variabilele cu valorile lor.
In concluzie: Nu ma deranjeaza(in momentul de fata) ca cineva ar putea sa
vada scripturile scrise de mine.
> On Mon, 25 Mar 2002, Ionut Radu wrote:
> > Salve,
> >
> > Deci nu conteaza unde le tin in princpiu unde o sa le tin inseamna ca o
> > sa dau drepturi de scriere pentru user-ul care lanseaza serverul de web
> > si orice programel facut in php se lanseaza cu drepturile acelui usei si
> > atunci ...
> >
> >
> > P.S. Vorbim de acelasi tip de session? Eu vrobeam de suita
> > (session_start, session_register, session_*)
>
> Man stai asa
> 1. scripturile tale folosesc in vre-un fel SQL? deja? ai parola SQL in
> scripturi? (dar vizibile la nivel fs)
> 2. ai conturi shell de care vrei protectie?
> 3. deci echipa PHP recomanda neutilizarea /tmp pentru sessions storage
> decat pentru servere dedicate
>
> Deci care-i problema?
>
> > > On Mon, 25 Mar 2002, Ionut Radu wrote:
> > > > Salve,
> > > >
> > > > baieti nu este vorba numai de cei care au acces shel acolo,
> > > > ganditi-va ca se poate face un programel care sa citeasca continutul
> > > > din /tmp si partea nasoala e ca raman acolo, e drept nu am folosit
> > > > session_destroy sa vad daca le sterge atunci.
> > >
> > > Man NU te obliga NIMENI sa le tii in /tmp. De altfel este RECOMANDAT sa
> > > folosesti un SQL pentru asta. Exista pe freshmeat.net handlere de
> > > sessions pentru PHP 4 gata facute (si pentru pgsql si pentru mysql...).
> > >
> > > ----------------------------
> > > Mihai RUSU
> > >
> > > Disclaimer: Any views or opinions presented within this e-mail are
> > > solely those of the author and do not necessarily represent those of
> > > any company, unless otherwise specifically stated.
> > >
> > > ---
> > > Send e-mail to '[EMAIL PROTECTED]' with 'unsubscribe rlug' to
> > > unsubscribe from this list.
> >
> > ---
> > Send e-mail to '[EMAIL PROTECTED]' with 'unsubscribe rlug' to
> > unsubscribe from this list.
>
> ----------------------------
> Mihai RUSU
>
> Disclaimer: Any views or opinions presented within this e-mail are solely
> those of the author and do not necessarily represent those of any company,
> unless otherwise specifically stated.
>
> ---
> Send e-mail to '[EMAIL PROTECTED]' with 'unsubscribe rlug' to
> unsubscribe from this list.
---
Send e-mail to '[EMAIL PROTECTED]' with 'unsubscribe rlug' to
unsubscribe from this list.
