![]() |
![]() |
![]()
Post
#1
|
|
Grupa: Zarejestrowani Postów: 133 Pomógł: 6 Dołączył: 26.10.2009 Ostrzeżenie: (0%) ![]() ![]() |
Jest bardzo kiepski w zabezpieczeniach ale osoba która to napisała najwidoczniej jeszcze bardziej niż ja.
Obecnie skrypt który posiadam ustawia cookies po zalogowaniu w następujący sposób:
Gdzie Cookies w debugu wygląda następująco: Problem w tym że wystarczy abym zmienił swoje ID w cookie na jakiegoś innego usera ID i mam pełny dostęp do jego danych. Podaje przykład obecnego działania zabezpieczenia if (isset($_COOKIE["user"]))
Próbowałem jeszcze aby również sprawdzano hasło w sposób typu : Niestety bez rezultatu...Mogę na stronce manipulować w cookies każdym ID usera i przez to mieszać im w profilach bez problemowo. Ale niestety nie potrafię zabezpieczyć się przed tym aby nikt inny tego w tak prosty sposób robił. Za wszelkie sugestie oraz pomoc z góry dziękuje. Ten post edytował Soulast 28.06.2010, 14:02:25 |
|
|
![]() |
![]()
Post
#2
|
|
Grupa: Moderatorzy Postów: 36 559 Pomógł: 6315 Dołączył: 27.12.2004 ![]() |
I to nie jest mechanizm sesji a mechanizm "Remember me " (IMG:style_emoticons/default/wink.gif)
@Pyton Stary czlowiek tez moze (IMG:style_emoticons/default/wink.gif) Cytat wprowadzanie IP tylko uprzykrzy życie bo wiele osób ma zmienne IP więc z tego będą problem to zamiast IP wprowadz BROWSER. zawsze to cosCytat kurde, musiałbyś mieć spore braki w filtrowaniu zmiennych przesyłanych od użytkownika, żeby wstrzyknąć kod który odczyta taki klucz należący do innego użytkownika Tja.... Nasz bohater w ciachu na poczatku trzymal login usera wiec wiesz (IMG:style_emoticons/default/wink.gif)
|
|
|
![]() ![]() |
![]() |
Aktualny czas: 15.10.2025 - 01:50 |