# loner   (03.12.2007 21:44:14) Reagovat
Ukradnutie session este nie je take zavazne. Ved si zoberme co ste mal v tom textaku. Len session id a to bola sesna lubovolneho uzivatela, ktory si pozrel Vas profil. Vobec to nemusel byt admin a este ku tomu clovek musi stihnut pozuzit toto id kym sa dany uzivate neodhlasi co znamena sediet nad tym textakom neustale. Kazdopadne je to velka chyba. Myslim ze kazdy programator co robi nieco na web by mal byt s XSS vysporiadany.

# zaachi   (03.12.2007 23:18:23) Reagovat
byla to sice session libovolneho uzivatele, ale bylo jasne, ze se tam casem obevi session ID admina.
A kdyz se nepouziva ani session_regenerate_i d, tak si vemte ze se vetsina uzivatelu ani neodhlasuje, tak to potom neni zase takovy problem, se prihlasit kdykoli.
Nad textakem jsem ani tak moc nesedel. Mrknul jsem se tam za pul hodinky, kdy uz tam bylo nekolik desitek session ID, a nebyl problem vybrat to administratorovo, podle poctu opakovani.