Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

 
Reply to this topicStart new topic
> [PHP]Zabezpieczenia w logowaniu
marcio
post
Post #1





Grupa: Zarejestrowani
Postów: 2 291
Pomógł: 156
Dołączył: 23.09.2007
Skąd: ITALY-MILAN

Ostrzeżenie: (10%)
X----


Witam mam male pytanie dotyczace przesylaniu id user'a w get'cie tak jak to jest na www.ogame.onet.pl.

Czyli chodzi mi o to ze przy logowaniu kazdy user dostaje swoje id ktore jest w sesji i przesylane jest do kazdego linku na stronie, na kazdej podstronie sprawdzam czy id z get'a jest takie same jak te z bazy jesli jest takie same to ok jak nie to wylogowywuje user'a.


W moim cms logowanie jest zabezpieczone w 100% jest filtrowanie i jest zabezpieczone przed atakiem brute-force i tym podobne jednak jest jedna rzecz jesli ktos znajdzie XSS(wszystkie znalezione zostaly zalatane) wyciaga lvl,name,kod i vip'a user'a wtedy za pomoca live http headers zmienia cookie i ma konto danej osoby wiem bo juz tak probowalem w lukach ktore znalezlismy i zastanawiam sie czy jesli przy zmiane cookie musialby by tez podac do get id user'a ktory sie zalogowal to by przed xss zabezpieczylo bo pass'ow w cookie nie trzymam (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) tylko teraz pytanie jest czy przy XSS jest mozliwosc ukradniecia tego id user'a z geta lub nie bo nie probowalem a nie mam jak musialbym wszystko pisac na nowo dlatego pytam czy warto robic taka przerobke?
Go to the top of the page
+Quote Post

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 



RSS Aktualny czas: 24.08.2025 - 08:34