سلام
چهطور می تونیم سشن های سرویس دهنده ای رو که سایت روی اون آپلود شده ببینیم؟

سشن ها در یک دایرکتوری به صورت موقت نگه داری می شوند و بعد از مدتی که استفاده نشود حذف میشوند
اما شما میتونید سشن های رو که توسط یک صفحه ایجاد میکنید رو توسط پرینت متغغیر سراسری


$_SESSION

و یا چاپ تابع


session_encode();

به صورت رمز شده ببینید


<?php
session_start();
$_SESSION['name']='salam';
$_SESSION['id']=12;
echo session_encode();//name|s:5:"salam";id|i:12;
?>

که این میگه یک سشن به نام name از نوع String با طول 5 حرف با مقدار salam و یک سشن به نام id از نوع Integer با مقدار 12 ایجاد شده است

سشن ها در یک دایرکتوری به صورت موقت نگه داری می شوند و بعد از مدتی که استفاده نشود حذف میشوند
اما شما میتونید سشن های رو که توسط یک صفحه ایجاد میکنید رو توسط پرینت متغغیر سراسری


$_SESSION
و یا چاپ تابع


session_encode();
به صورت رمز شده ببینید


<?php
session_start();
$_SESSION['name']='salam';
$_SESSION['id']=12;
echo session_encode();//name|s:5:"salam";id|i:12;
?>
که این میگه یک سشن به نام name از نوع String با طول 5 حرف با مقدار salam و یک سشن به نام id از نوع Integer با مقدار 12 ایجاد شده است



از اونجایی که کوکی ها روی کامپیوتر کاربر ذخیره می شن و مجددا به سرور برگردونده می شن، آیا این امکان وجود داره که هکر با قرار دادن مقادیر مخرب توی کوکی بتونه به سایت دسترسی پیدا کنه؟

اگه جواب مثبته (برای جلوگیری از هک شدن سایت به وسیله کوکی های برگردونده شده) چه راه حلی پیشنهاد می کنید؟

اولا که توی کوکی هیچ وقت اطلاعات مهم رو قرار نمیدهند و ثانیا کسی نمی تونه به کوکی که توی سیستم شما هست دسترسی داشته باشه مگر اینکه پای سیستم شما باشه
ثالثا هر کوکی فقط توسط همون دامین که ایجاد شده قابل خواندن هستش

اولا که توی کوکی هیچ وقت اطلاعات مهم رو قرار نمیدهند و ثانیا کسی نمی تونه به کوکی که توی سیستم شما هست دسترسی داشته باشه مگر اینکه پای سیستم شما باشه
ثالثا هر کوکی فقط توسط همون دامین که ایجاد شده قابل خواندن هستش

منظورم کوکی هایی هست که سرور توی کامپیوتر هکر ذخیره می کنه. هکر به کوکی های ذخیره شده توی کامپیوتر خودش دسترسی داره و احتمالا می تونه اونها رو تغییر بده و به همراه کوکیها داده های مخرب به سرور ارسال کنه.

می شه توضیح بدید که در این حات چه اتفاقایی ممکنه رخ بده؟

گفتم که توی کوکی اطلاعات مهمی رو نمیریزند و فقط با سشن کار های مهم رو انجام میدهند
اما به فرض هم که بخوان کاری که با سشن میکنند رو با کوکی بکنند
خوب شما اگر چند تا کوکی توی سیستم کاربر ذخیره کنید که توی هر کوکی یک مقدار باشه
مثلا توی یکی نام کاربری باشه
توی یکی رمزش رو به md5
وتوی یکیش هم آی پی کاربر رو md5 کرده باشی
بعد سمت سرور همه اینا رو میخونی و کنار هم میگزاری و با یک رمز که فقط خودت الگوریمتش رو میدونی و برای هر کاربر درست کردی مقایسه کن اگر یکی بود واقعا کاربر هست
به نظرت کسی میتونه این کوکی رو دور بزنه یا اصلا جز خودتون میفهمید این همه کد رمز برای چیه؟

گفتم که توی کوکی اطلاعات مهمی رو نمیریزند و فقط با سشن کار های مهم رو انجام میدهند
اما به فرض هم که بخوان کاری که با سشن میکنند رو با کوکی بکنند
خوب شما اگر چند تا کوکی توی سیستم کاربر ذخیره کنید که توی هر کوکی یک مقدار باشه
مثلا توی یکی نام کاربری باشه
توی یکی رمزش رو به md5
وتوی یکیش هم آی پی کاربر رو md5 کرده باشی
بعد سمت سرور همه اینا رو میخونی و کنار هم میگزاری و با یک رمز که فقط خودت الگوریمتش رو میدونی و برای هر کاربر درست کردی مقایسه کن اگر یکی بود واقعا کاربر هست
به نظرت کسی میتونه این کوکی رو دور بزنه یا اصلا جز خودتون میفهمید این همه کد رمز برای چیه؟

من با sha1 کار کردم ولی با md5 کارنکردم. می شه در مورد این الگوریتم توضیح بدید و بگید که مثلا چه داده هایی رو رمز می کنه، داده ای که می خوایم رمز بشه حداقل و احداکثر باید از چند کاراکتر تشکیل بشه تا این الگوریتم بتونه اون رو رمز کنه، این الگوریتم روی داده های فارسی هم اجرا می شه یا نه و در نهایت چطور می تونم برای این الگوریتم یه رمز تعیین کنم ؟

عزیز الگوریتم این تابع md5 رو جز سازندش فکر نمیکنم کسی بدونه
هر کاراکتری به این تابع بدهید چه 1 چه 100 در آخر تبدیل میشه یه یک رمز 32 کاراکتری که غیر قابل برگشت هم هست
shal1 هم نتیجش یک رمز 40 کاراکتری هست