![]() |
![]() |
![]()
Post
#1
|
|
Grupa: Zarejestrowani Postów: 117 Pomógł: 0 Dołączył: 12.11.2008 Ostrzeżenie: (0%) ![]() ![]() |
Mam pomysł na zrobienie takiego logowania na bazie:
1. Nie ma sesji, ani cookies. 2. Struktura tabeli z sesjami: Kod +---------+------------+--------------+---------+------------+-------------+ | user_id | session_id | user_browser | user_ip | start_time | remember_me | +---------+------------+--------------+---------+------------+-------------+ Objaśnienia:
4. Remember_me: działa, jeśli jest dozwolone w konfiguracji. Pytania: 1. Czy to bezpieczne? Coś pominąłem? 2. Czy sprawdzać oprócz tego $_SERVER['X_FORWARDED_FOR']; //I czemu nie znalazłem tego w manualu? 3. Na ile powinienem ustawić domyślny czas trwania sesji (bo może być albo domyślny, albo na zawsze (remember_me może być 0 lub 1)). Ten post edytował infoo1 12.12.2008, 22:05:22 |
|
|
![]() |
![]()
Post
#2
|
|
Grupa: Zarejestrowani Postów: 117 Pomógł: 0 Dołączył: 12.11.2008 Ostrzeżenie: (0%) ![]() ![]() |
0) Ale jak sprawdzam browsera, to pokaże coś innego. Przykład:
pod FX mam: Cytat Mozilla/5.0 (Windows; U; Windows NT 6.0; pl; rv:1.9.0.4) Gecko/2008102920 Firefox/3.0.4 a pod badzIEwiem: Cytat Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506) 1) Sprawdzam browsera, IP, sesję w $_GET['sid'] i XFF. Przykłady: get_user_id - pobiera id użytkownika; is_session - sprawdza, czy user jest zalogowany 2) Wiem, że nie zawsze dostanę te dane 3) Fakt, tutaj userzy mogą umożliwić innym hacknięcie. Na szczęście do mojego programu dostęp jest tylko z jednego budynku (serwer, a do niego podłączone komputery). Zastanawiam się nad 30 minutami. To powinno wystarczyć. |
|
|
![]() ![]() |
![]() |
Aktualny czas: 1.10.2025 - 16:50 |