Forum PHP.pl

witam jak można zablokować stronę dla nie zalogowanych użytkowników

czy wystarczy umieścić przed każdą strona (podstrona)

[PHP] pobierz, plaintext 
<?php
if (isset($_SESSION['login']) //przy logowaniu dla $_SESSION['login'] zostaje przypisany użytkownik a konkretnie jego login
{
.......
}
?>
[PHP] pobierz, plaintext 

Ten post edytował kinder26 2.09.2008, 10:48:51

Tak wystarczy.

Ja stosuję ciut a inaczej - prościej z punktu widzenia kodu

[PHP] pobierz, plaintext 
<?php
if (!isset($_SESSION['login']) //przy logowaniu dla $_SESSION['login'] zostaje przypisany użytkownik a konkretnie jego login
{
die()
}
.........
?>
[PHP] pobierz, plaintext 

dla bezpieczeństwa nie stosuj loginu w sesji ... lepiej zrobić (moim zdaniem)

[PHP] pobierz, plaintext 
<?php
$_SESSION['logged_in'] = true;
?>
[PHP] pobierz, plaintext 

Czemu ustawianie loginu w sesji nie jest bezpiecznym rozwiązaniem?

nie wiem, jakoś tak mi się wydaje i osobiście proponuje zrobić to na takiej zasadzie ... no ale ... jak kto tam woli

Zmienie sesję i co? Mam dostęp ;]

Jeśli serwer nie jest skonfigurowany jakoś ekstremalnie źle to tych zmiennych nie da się odczytać ani nimi manipulować, oczywiście jest możliwość, że coś jest źle ustawione i w takim przypadku lepiej wszystkie dane pobierać z bazy danych. Zawsze to jednak jakieś dodatkowe zapytania do bazy, jeśli ma się sprawdzony serwer to takie praktyki mijają się z celem.

To zmien. Pokaz jeszcze nam jak to robisz, chetnie sie czegos nowego dowiemy.

ps: pomijam tu przypadek ze wykradniesz komus id sesji lub cos takiego

Czyli twierdzicie że pobranie loginu z sesji nie jest niczym strasznym?

(i tak wole swój sposób, jedno zapytanie do bazy niczego dużego nie zmieni)

@nospor - W bezpieczeństwie stron internetowych nie można niczego pomijać.. To tak jakbyś kupił zamek do drzwi, zamontował go a nie zamknął..

@decha-design - Bezpieczniej jest właśnie pobierać z bazy ;]

Ten post edytował kiamil 2.09.2008, 13:41:33

O ile serwer jest dobrze skonfigurowany (a zazwyczaj jest) to zmienne są kompletnie bezpieczne. Jeśli jest źle skonfigurowany to i tak to nic nie zmienia, można wtedy odczytać każdy identyfikator sesji i podszyć się pod każdego użytkownika.

@up - Jeszcze bezpieczniej jest w ogóle zrezygnować z systemu logowania.

Ten post edytował Berg 2.09.2008, 13:47:11

(IMG:http://forum.php.pl/style_emoticons/default/blinksmiley.gif) A jak ma sie do tego twoja wczesniejsza wypowiedz? Rownie dobrze moge powiedziec ze moge zmienic kod twojej aplikacji a potem napisac ze w bezpieczenstwie stron nie mozna niczego pomijac. (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

no a skad bedziesz wiedzial co masz pobrac z bazy?

Po kiego?(IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) Przeciez użytkownik nie może zmienić danych w sesji w żaden sposób (no chyba, że ma się cholernie dziurawe skrypty).
Wystarczy dobrze filtrowac dane ktore ewentualnie moga pojsc do sesji i to wystarczy,

@wookieb- podstawy java-script, lub program CS Lite

Można UKRAŚĆ sesje ale nie ZMIENIĆ jej zawartości (chyba ze naprawde skrypt jest totalnym dnem)

@kiamil ponawiam pytanie:
no a skad bedziesz wiedzial co masz pobrac z bazy?
No gdzies musisz trzymac info o tym, co chcesz pobrac z bazy. gdzie? No bo chyba nie w sesji (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

W sesji ale to będą dane do SPRAWDZENIA a nie dane końcowe, i oczywiście zahashowane ;]

@kiamil przeczysz sam sobie
Skoro moge zmienic dane w sesji/podmienic sesje to rownie dobrze moge podmienic te twoje dane do sprawdzenia, ktore są przeciez w sesji. Dzieki takiej podmianie uzyskam dostep do danych koncowych.

dobra, dobra ... wszystko się wytłumaczyło ... nie ma znaczenia czy pobierasz z bazy czy przez sesje ... mniejsza o to =)

jak już to wole podawać w sesji ID niż login o.O

Ten post edytował decha-design 2.09.2008, 14:44:33