Autor Zpráva
JAM3SoN
Profil *
Zdravim.. Mohol by mi prosim Vas niekto poradit, ako chytre vyriesit cookie, ktora by nechala uzivatela prihlaseneho? Neviem co mam do nej vlozit a co kontrolovat.. povedzme ked tam ulozim len nick, niekto si ten nick zmeni na administratora a je prihlaseny ako admin... Proste potrebujem to spravit tak, aby to nebolo napadnutelne:P A este ak existuje daky sposob ako osetrit aby sa ta cookie neskopcila a nedostala na iny komp.. Som z toho trosku vedla :P diky moc...;)
suky
Profil
JAM3SoN
K uchovavani informaci o prihlasenem uzivateli pouzivaj spise sessions (nejradeji v db), je to jak rychlejsi, tak i bezpecnejsi.
nightfish
Profil
povedzme ked tam ulozim len nick, niekto si ten nick zmeni na administratora a je prihlaseny ako admin
když už to řešit, tak si do ní uložit nějaký hash, který si uložíš ke konkrétnímu uživateli do databáze

Proste potrebujem to spravit tak, aby to nebolo napadnutelne
to už z principu nepůjde - každý, kdo přijde ke stejnému prohlížeči, se "automaticky" přihlásí

este ak existuje daky sposob ako osetrit aby sa ta cookie neskopcila a nedostala na iny komp
můžeš zkusit kontrolovat IP adresu - ale to může znamenat nefunkčnost této "vlastnosti" pro uživatele s dynamickou IP adresou
JAM3SoN
Profil *
suky, pouzivam to tak, samozrejme.. Avsak ked niekto sa vrati na stranku povedzme o dva dni, session uz vyprsala.. ale pokial ma dotycny cookie, tak stranka to moze skontrolovat a obnovit session :P a tu mi slo o to, ze co ukladat do tej cookie. fakt tam budem musiet asi daco hashovat a saltovat, a davat pozor aby mi niekto cez JS(povedzme v komentaroch) neukradol cookie....
srigi
Profil
Ak user zatrhne, ze kce ostat prihlaseny trvalo, posli mu cookie napr. s nazvom token s nahodnym obsahom (podobne nahodnym ako PHPSESSID, ale nie PHPSESSID samozrejme). Zaroven si do DB uloz hodnotu tokenu, nicku a timestamp poslenej navstevy.

Ked potom pride user na stranky, posle ti cookie spat, ty sa podla toho pozries do databazy, ci tam je taky token. Ak ano, overis, ci este je este v platnosti (na to ten timestamp), ak ak ano, userovi zaregistrujes session premenne s danym nickom a updatnes timestamp v db a platnost cookie.

Raz za cas treba tabulku s tokenmi prejst na vyprsane zaznamy.
JAM3SoN
Profil *
srigi

Vyborne, dakujem... Presne taketo cosi som potreboval vymysliet ;)
krteczek
Profil
ještě dodám, že sloupeček by měl mít unique a NULL, aby nemohlo dojít k zdvojení tokenů, ale zároveň šli vymazat. A při ukládání tokenu si ověřuj jestli se podařillo ho uložit nebo ti db vrátila informaci o tom že takový token už existuje
Radim24
Profil *
K uchovavani informaci o prihlasenem uzivateli pouzivaj spise sessions (nejradeji v db), je to jak rychlejsi, tak i bezpecnejsi.

Příjde mi to jako ta nejhorší varianta ukládat hesla do Cookie. Někdo kdo tomu nerozumí, pustí někoho cizího k pc, a do minuty má ukradené svoje heslo.
suky
Profil
Radim24
Nepochopil jsem vyznam tveho prispevku.
Radim24
Profil *
Touha po sebevyjádření, nic víc v tom nehledej.

Vaše odpověď

Mohlo by se hodit

Odkud se sem odkazuje


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: