[PHP.ini] session.referer_check

dinsdag 11 februari 2003 22:37

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Om te voorkomen dat men erg met m'n sessie kan gaan dollen ben ik van alles aan het proberen om alles zo safe mogelijk te krijgen.

Alles ziet er wel safe uit, krijg alleen de referer_check in de php.ini niet aan de praat, terwijl het allemaal zo simpel lijkt.

de onderstaande combinaties werken niet:

session.referer_check = domein.nl

session.referer_check = 'domein.nl'

session.referer_check = "domein.nl"

Kan geen andere logische combi bedenken. Hoe kan dit??

dinsdag 11 februari 2003 22:48

Acties:

0 Henk 'm!

TheDane

1.618

moet 't niet session.referer_check = ".domein.nl" zijn ?

je kunt namelijk ook geen cookie voor "domein.nl" setten ... en _wel_ voor ".domein.nl"

woensdag 12 februari 2003 00:37

Acties:

0 Henk 'm!

Cipri

Of niet natuurlijk...

session.referer_check string
session.referer_check contains the substring you want to check each HTTP Referer for. If the Referer was sent by the client and the substring was not found, the embedded session id will be marked as invalid. Defaults to the empty string.

Inderdaad niet erg duidelijk, maar het moet een string zijn en formaat daarvoor staat bovenin d ephp.ini

Vertrouw ook niet op Referers. het helpt tegen script kiddies misschien, maar een referer spoofen is zo ongeveer het simpelste wat er te doen is...

-=[ Murlocs Ate My Boots]=- Sylvanas Alliance - EU - Orosei lvl 100 Paladin

Onderwerpen