[PHP]Zabezpieczenie Cookies po zalogowaniu

[PHP]Zabezpieczenie Cookies po zalogowaniu, Manipulacja ID w cookies

Soulast Zobacz profil	28.06.2010, 13:59:57 Post #1
Grupa: Zarejestrowani Postów: 133 Pomógł: 6 Dołączył: 26.10.2009 Ostrzeżenie: (0%)	Jest bardzo kiepski w zabezpieczeniach ale osoba która to napisała najwidoczniej jeszcze bardziej niż ja. Obecnie skrypt który posiadam ustawia cookies po zalogowaniu w następujący sposób: [PHP] pobierz, plaintext //Set Cookies setcookie('tid', $user['id'], time() + (60 * $login['clength'])); setcookie('user', $nazwa['user'], time() + (60 * $login['clength'])); setcookie('pass', $haslo['pass'], time() + (60 * $login['clength'])); [PHP] pobierz, plaintext Gdzie Cookies w debugu wygląda następująco: [PHP] pobierz, plaintext Array ( [tid] => 1 [user] => nazwa [pass] => haslo [PHPSESSID] => idsesji ) [PHP] pobierz, plaintext Problem w tym że wystarczy abym zmienił swoje ID w cookie na jakiegoś innego usera ID i mam pełny dostęp do jego danych. Podaje przykład obecnego działania zabezpieczenia if (isset($_COOKIE["user"])) [PHP] pobierz, plaintext if (isset($_COOKIE["user"])){ $member=mysql_query("SELECT * FROM members WHERE id='{$_COOKIE['tid']}' AND password='{$_COOKIE['pass']}'"); $member=mysql_fetch_array($member); echo" <div align='center'> .......Notka Po zalogowaniu ID usera 1 ........... </div>"; }else{ echo" <div align='center' > ............Jakiś Login Form........ </div>";} [PHP] pobierz, plaintext Próbowałem jeszcze aby również sprawdzano hasło w sposób typu : [PHP] pobierz, plaintext if ((isset($_COOKIE["user"])) && (isset($_COOKIE["pass"]))) [PHP] pobierz, plaintext Niestety bez rezultatu...Mogę na stronce manipulować w cookies każdym ID usera i przez to mieszać im w profilach bez problemowo. Ale niestety nie potrafię zabezpieczyć się przed tym aby nikt inny tego w tak prosty sposób robił. Za wszelkie sugestie oraz pomoc z góry dziękuje. Ten post edytował Soulast 28.06.2010, 14:02:25

Odpowiedzi

nospor Zobacz profil	26.09.2016, 13:03:46 Post #2
Grupa: Moderatorzy Postów: 36 559 Pomógł: 6315 Dołączył: 27.12.2004	I to nie jest mechanizm sesji a mechanizm "Remember me " (IMG:style_emoticons/default/wink.gif) @Pyton Stary czlowiek tez moze (IMG:style_emoticons/default/wink.gif) Cytat wprowadzanie IP tylko uprzykrzy życie bo wiele osób ma zmienne IP więc z tego będą problem to zamiast IP wprowadz BROWSER. zawsze to cos Cytat kurde, musiałbyś mieć spore braki w filtrowaniu zmiennych przesyłanych od użytkownika, żeby wstrzyknąć kod który odczyta taki klucz należący do innego użytkownika Tja.... Nasz bohater w ciachu na poczatku trzymal login usera wiec wiesz (IMG:style_emoticons/default/wink.gif)

Posty w temacie

Soulast [PHP]Zabezpieczenie Cookies po zalogowaniu 28.06.2010, 13:59:57

wookieb SESJA jest odpowiedzią na wszystko. 28.06.2010, 14:03:38

Soulast Czyli? Zastąpienie kompletnie cookies sesją?czy mo... 28.06.2010, 14:15:58

wookieb Zastąpienie cookies sesją. I nie musisz w niej prz... 28.06.2010, 14:17:01

Mikz [PHP] pobierz, plaintext $member=mysql_query(... 28.06.2010, 18:07:51

Soulast Nie wiem czemu ale sporo pomocników w przedszkolu ... 29.06.2010, 11:00:42

d.stp Witam, zrobiłem logowanie na ciachach i mam identy... 26.09.2016, 10:21:07

nospor Cytatw ciachu trzymam tylko login usera i wartość ... 26.09.2016, 10:23:49

d.stp Bo chce mieć sesje na jeden dzień, a nie że co zam... 26.09.2016, 10:49:52

nospor No to zamiast trzymac login usera, trzymaj jakis t... 26.09.2016, 10:52:22

d.stp Dobra czyli przy logowaniu ustawiam sobie: ... 26.09.2016, 10:59:52

redeemer Taki mechanizm ma swoją nazwę/nazwy: "Persist... 26.09.2016, 11:01:28

nospor Cytatjak w bazie mam ustawić ważność? Dodaj popros... 26.09.2016, 11:02:56

d.stp OK, czyli jak się zaloguje ponownie już na tym taj... 26.09.2016, 11:05:32

nospor Tak i tak. A jako sol to rownie dobrze beda sluzy... 26.09.2016, 11:08:31

d.stp No ale prawda jest taka że jakbym dał dał 12381723... 26.09.2016, 11:13:37

!*! @d.stp nikt dziś nie buduje mechanizmów sesji opar... 26.09.2016, 11:40:23

nospor Cytat@nospor najwyraźniej ma sentyment do lat 90ty... 26.09.2016, 13:00:25

Pyton_000 Stary człowiek i może 26.09.2016, 13:00:48

nospor I to nie jest mechanizm sesji a mechanizm "Re... 26.09.2016, 13:03:46

« Następny starszy · Przedszkole · Następny nowszy »

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Aktualny czas: 16.10.2025 - 03:01

Hosting zapewnia

Forum PHP.pl