| Autor | Zpráva | ||
|---|---|---|---|
| JAM3SoN Profil * |
#1 · Zasláno: 11. 6. 2008, 12:17:36
Zdravim.. Mohol by mi prosim Vas niekto poradit, ako chytre vyriesit cookie, ktora by nechala uzivatela prihlaseneho? Neviem co mam do nej vlozit a co kontrolovat.. povedzme ked tam ulozim len nick, niekto si ten nick zmeni na administratora a je prihlaseny ako admin... Proste potrebujem to spravit tak, aby to nebolo napadnutelne:P A este ak existuje daky sposob ako osetrit aby sa ta cookie neskopcila a nedostala na iny komp.. Som z toho trosku vedla :P diky moc...;)
|
||
| suky Profil |
#2 · Zasláno: 11. 6. 2008, 12:24:19
JAM3SoN
K uchovavani informaci o prihlasenem uzivateli pouzivaj spise sessions (nejradeji v db), je to jak rychlejsi, tak i bezpecnejsi. |
||
| nightfish Profil |
#3 · Zasláno: 11. 6. 2008, 12:28:28
povedzme ked tam ulozim len nick, niekto si ten nick zmeni na administratora a je prihlaseny ako admin
když už to řešit, tak si do ní uložit nějaký hash, který si uložíš ke konkrétnímu uživateli do databáze Proste potrebujem to spravit tak, aby to nebolo napadnutelne to už z principu nepůjde - každý, kdo přijde ke stejnému prohlížeči, se "automaticky" přihlásí este ak existuje daky sposob ako osetrit aby sa ta cookie neskopcila a nedostala na iny komp můžeš zkusit kontrolovat IP adresu - ale to může znamenat nefunkčnost této "vlastnosti" pro uživatele s dynamickou IP adresou |
||
| JAM3SoN Profil * |
#4 · Zasláno: 11. 6. 2008, 16:31:44
suky, pouzivam to tak, samozrejme.. Avsak ked niekto sa vrati na stranku povedzme o dva dni, session uz vyprsala.. ale pokial ma dotycny cookie, tak stranka to moze skontrolovat a obnovit session :P a tu mi slo o to, ze co ukladat do tej cookie. fakt tam budem musiet asi daco hashovat a saltovat, a davat pozor aby mi niekto cez JS(povedzme v komentaroch) neukradol cookie....
|
||
| srigi Profil |
#5 · Zasláno: 11. 6. 2008, 16:33:00 · Upravil/a: srigi
Ak user zatrhne, ze kce ostat prihlaseny trvalo, posli mu cookie napr. s nazvom token s nahodnym obsahom (podobne nahodnym ako PHPSESSID, ale nie PHPSESSID samozrejme). Zaroven si do DB uloz hodnotu tokenu, nicku a timestamp poslenej navstevy.
Ked potom pride user na stranky, posle ti cookie spat, ty sa podla toho pozries do databazy, ci tam je taky token. Ak ano, overis, ci este je este v platnosti (na to ten timestamp), ak ak ano, userovi zaregistrujes session premenne s danym nickom a updatnes timestamp v db a platnost cookie. Raz za cas treba tabulku s tokenmi prejst na vyprsane zaznamy. |
||
| JAM3SoN Profil * |
#6 · Zasláno: 11. 6. 2008, 17:43:53
srigi
Vyborne, dakujem... Presne taketo cosi som potreboval vymysliet ;) |
||
| krteczek Profil |
#7 · Zasláno: 12. 6. 2008, 07:31:03
ještě dodám, že sloupeček by měl mít unique a NULL, aby nemohlo dojít k zdvojení tokenů, ale zároveň šli vymazat. A při ukládání tokenu si ověřuj jestli se podařillo ho uložit nebo ti db vrátila informaci o tom že takový token už existuje
|
||
|
Časová prodleva: 1 měsíc
|
|||
| Radim24 Profil * |
#8 · Zasláno: 23. 7. 2008, 10:39:23
K uchovavani informaci o prihlasenem uzivateli pouzivaj spise sessions (nejradeji v db), je to jak rychlejsi, tak i bezpecnejsi.
Příjde mi to jako ta nejhorší varianta ukládat hesla do Cookie. Někdo kdo tomu nerozumí, pustí někoho cizího k pc, a do minuty má ukradené svoje heslo. |
||
| suky Profil |
#9 · Zasláno: 23. 7. 2008, 13:00:56
Radim24
Nepochopil jsem vyznam tveho prispevku. |
||
| Radim24 Profil * |
#10 · Zasláno: 23. 7. 2008, 15:06:42
Touha po sebevyjádření, nic víc v tom nehledej.
|
||
|
Časová prodleva: 16 let
|
|||
0