 Zabezpieczenie strony |
| Zabezpieczenie strony |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 161 Pomógł: 9 Dołączył: 14.07.2008 Ostrzeżenie: (0%) 
 |
Stworzyłem portal aukcyjny typu podbij.pl.
Mam wątpliwości co do jego zabezpieczeń. Chodzi mi o wyciek danych osobowych. W jaki sposób się przed tym zabezpieczyć. Teraz sprawdzam tylko czy użytkownik który licytuje przez ajax jest tym samym użytkownikiem i czy jest zalogowany, żeby nie dało się wysłać licytacji z obcym id użytkownika. Przed sql injection zabezpiecza już framework Kohana. Adres strony: http://www.alleklik.pl Testowy użytkownik: login: test hasło: test Prosiłbym o przejrzenie i znalezienie błędów. Ten post edytował marcinpruciak 1.10.2010, 12:20:43 |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 81 Pomógł: 4 Dołączył: 17.02.2009 Ostrzeżenie: (0%)
|
zrób sobie tabelkę z dwiema kolumnami: 'kod', 'user':
gdy user się loguje to wpisujesz go to tabeli i generujesz jakiś kod sobie tylko znanymi metodami. Przy pomocy kodu kodujesz kolejny kod i wysyłasz jako trzecia zmienna obok usera i id_produktu. Przy czym pierwszego kodu nigdzie nie zapisuj u użytkownika tylko ten ostateczny drugi kod. Z drugiej strony wyszukujesz z tabeli kod po userze. kodujesz go dokładnie tak samo jak z tamtej strony i porównujesz z tym co dostałeś. Jeśli takie same to dokonujesz akcji, jeśli nie to znaczy że coś nie tak. Nie wiem czy zrozumiałe, ale zdecydowanie trudniejsze do złamania niż wysyłanie tylko namiarów na usera i produkt. I jeszcze nie wiem po ilu minutach zrobiłeś automatyczne wylogowanie, ale można też sprawdzać czy użytkownik licytujący jest zalogowany... Ten post edytował smagul 1.10.2010, 13:23:21 |
|
|
|
marcinpruciak Zabezpieczenie strony 1.10.2010, 12:18:23 
marcinpruciak Mam już podobny sposób. Tylko z tym automatycznym ... 1.10.2010, 14:11:52 
lord2105 SSL 1.10.2010, 14:47:37  |
|
Aktualny czas: 15.10.2025 - 21:02 |
