Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [PHP]Zabezpieczenie Cookies po zalogowaniu, Manipulacja ID w cookies
Soulast
post
Post #1





Grupa: Zarejestrowani
Postów: 133
Pomógł: 6
Dołączył: 26.10.2009

Ostrzeżenie: (0%)
-----

Jest bardzo kiepski w zabezpieczeniach ale osoba która to napisała najwidoczniej jeszcze bardziej niż ja.

Obecnie skrypt który posiadam ustawia cookies po zalogowaniu w następujący sposób:

[PHP] pobierz, plaintext 
  1. 	//Set Cookies
  2. 	setcookie('tid', $user['id'], time() + (60 * $login['clength']));
  3. 	setcookie('user', $nazwa['user'], time() + (60 * $login['clength']));
  4. 	setcookie('pass', $haslo['pass'], time() + (60 * $login['clength']));
[PHP] pobierz, plaintext


Gdzie Cookies w debugu wygląda następująco:

[PHP] pobierz, plaintext 
  1. Array ( [tid] => 1 [user] => nazwa [pass] => haslo [PHPSESSID] => idsesji ) 
[PHP] pobierz, plaintext


Problem w tym że wystarczy abym zmienił swoje ID w cookie na jakiegoś innego usera ID i mam pełny dostęp do jego danych.

Podaje przykład obecnego działania zabezpieczenia if (isset($_COOKIE["user"])) 

[PHP] pobierz, plaintext 
  1. if (isset($_COOKIE["user"])){
  2. $member=mysql_query("SELECT * FROM members WHERE id='{$_COOKIE['tid']}' AND password='{$_COOKIE['pass']}'");
  3. $member=mysql_fetch_array($member);
  4.  
  5. echo"
  6. <div align='center'>
  7. .......Notka Po zalogowaniu ID usera 1 ...........
  8. </div>";
  9. }else{
  10. echo"
  11. <div align='center' >
  12. ............Jakiś Login Form........
  13. </div>";}
[PHP] pobierz, plaintext


Próbowałem jeszcze aby również sprawdzano hasło w sposób typu :

[PHP] pobierz, plaintext 
  1. if  ((isset($_COOKIE["user"])) && (isset($_COOKIE["pass"]))) 
[PHP] pobierz, plaintext


Niestety bez rezultatu...Mogę na stronce manipulować w cookies każdym ID usera i przez to mieszać im w profilach bez problemowo.
Ale niestety nie potrafię zabezpieczyć się przed tym aby nikt inny tego w tak prosty sposób robił.

Za wszelkie sugestie oraz pomoc z góry dziękuje.

Ten post edytował Soulast 28.06.2010, 14:02:25
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
d.stp
post
Post #2





Grupa: Zarejestrowani
Postów: 358
Pomógł: 0
Dołączył: 19.04.2012

Ostrzeżenie: (0%)
-----

Dobra czyli przy logowaniu ustawiam sobie:

$tajny_ciag = md5('n'.time().'o'.time().'s'.time().'p'.time().'o'.time().'r');
setcookie('tajny_ciag ', $tajny_ciag, time()+3600*24);
// update ciacho where user = user_login

i gra gitara. Teraz gdzieś w indexie wrzucam:

[PHP] pobierz, plaintext 
  1. if (isset($cookie)) {
  2. // pobieram cookie z bazy
  3. // sprawdzam czy ciacho sie zgadza te z bazy == te w coookie
  4. // jesli jest ok wyswietlam sekcje dla zalogowanego
  5. // jesli nie jest ok wyrzucam go na strone logowania
  6. }
[PHP] pobierz, plaintext


jak w bazie mam ustawić ważność? (IMG:style_emoticons/default/ohmy.gif)

Ten post edytował d.stp 26.09.2016, 11:00:46
Go to the top of the page
+Quote Post

Posty w temacie
- Soulast   [PHP]Zabezpieczenie Cookies po zalogowaniu   28.06.2010, 13:59:57
- - wookieb   SESJA jest odpowiedzią na wszystko.   28.06.2010, 14:03:38
- - Soulast   Czyli? Zastąpienie kompletnie cookies sesją?czy mo...   28.06.2010, 14:15:58
- - wookieb   Zastąpienie cookies sesją. I nie musisz w niej prz...   28.06.2010, 14:17:01
- - Mikz   [PHP] pobierz, plaintext $member=mysql_query(...   28.06.2010, 18:07:51
- - Soulast   Nie wiem czemu ale sporo pomocników w przedszkolu ...   29.06.2010, 11:00:42
- - d.stp   Witam, zrobiłem logowanie na ciachach i mam identy...   26.09.2016, 10:21:07
- - nospor   Cytatw ciachu trzymam tylko login usera i wartość ...   26.09.2016, 10:23:49
- - d.stp   Bo chce mieć sesje na jeden dzień, a nie że co zam...   26.09.2016, 10:49:52
- - nospor   No to zamiast trzymac login usera, trzymaj jakis t...   26.09.2016, 10:52:22
- - d.stp   Dobra czyli przy logowaniu ustawiam sobie: ...   26.09.2016, 10:59:52
- - redeemer   Taki mechanizm ma swoją nazwę/nazwy: "Persist...   26.09.2016, 11:01:28
- - nospor   Cytatjak w bazie mam ustawić ważność? Dodaj popros...   26.09.2016, 11:02:56
- - d.stp   OK, czyli jak się zaloguje ponownie już na tym taj...   26.09.2016, 11:05:32
- - nospor   Tak i tak. A jako sol to rownie dobrze beda sluzy...   26.09.2016, 11:08:31
- - d.stp   No ale prawda jest taka że jakbym dał dał 12381723...   26.09.2016, 11:13:37
- - !*!   @d.stp nikt dziś nie buduje mechanizmów sesji opar...   26.09.2016, 11:40:23
- - nospor   Cytat@nospor najwyraźniej ma sentyment do lat 90ty...   26.09.2016, 13:00:25
- - Pyton_000   Stary człowiek i może   26.09.2016, 13:00:48
- - nospor   I to nie jest mechanizm sesji a mechanizm "Re...   26.09.2016, 13:03:46

« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 11.10.2025 - 00:03
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn