[inne]Czy da się zmodyfikować wartość ciasteczka ? Opcje

[Colder]

Witam,
w moim ciasteczku przechowywałbym id użytkownika aby potem sprawdzać czy jest on w określonej grupie, pytanie tylko czy to bezpieczne ?
Bo gdyby ktoś zmodyfikował sobie owe ciasteczko, na wartość mojego id użytkownika - stałby się mną...
Pozdrawiam.

Chodzi oczywiście o modyfikacje offline, przez np jakiś program (IMG:style_emoticons/default/smile.gif)

[wookieb]

Tak. Dlatego stosuje się sumy kontrolne

[Colder]

A mógłbyś mi wytłumaczyć ich działanie ?
Przeczytałem szybko w wikipedii że to np MD5, ale gdy ktoś zakoduje sobie moje id np 2 i potem wklei do ciasteczka to przecież wyjdzie na to samo ;X

[wookieb]

[PHP] pobierz, plaintext 
$suma_kontrolna = md5($id.'TWOJ_TAJNY_KLUCZ'.$id.'TWOJ_TAJNY_KLUCZ2');
[PHP] pobierz, plaintext 

I masz sumę kontrolną.
Polecam sha1 (lub wyższe numery)
W ostateczności zostaje użycie algorytmu blowfish, który po prostu zakoduje twój ciąg a ty po stronie serwera będziesz mógł go odkodować.

[Colder]

Tzn że gdy zrobię:

[PHP] pobierz, plaintext 
$suma_kontrolna = md5('PolskaJest'.$id.'Superrr33323');
[PHP] pobierz, plaintext 

To zakoduje sobie to w formie:

'PolskaJest2Superrr33323'
Gdzie 2 to id ?

A mógłbyś mi powiedzieć jak z takiej super sumy kontrolnej pobrać id ?

[wookieb]

Ale ty nie masz z niej pobierać ID.
Pokaże to na kodzie.

[PHP] pobierz, plaintext 
function suma_kontrolna($id)
{
 
}
 
$id = 5;
$suma_kontrolna = suma_kontrolna($id);
// obie te wartosci wysyłasz ciasteczkiem do usera
 
 
// drugie zadanie
$id = $_COOKIE['id'];
$suma = $_COOKIE['suma'];
if ($suma != suma_kontrolna($id))
{
 // suma sie nie zgadza
// nie akceptujesz id
}
[PHP] pobierz, plaintext 

Ale tak naprawdę po co Ci to wszystko? Użyj sesji i problem z głowy.