Kod bezpieczeństwa do sprawdzenia. Opcje

[Soulast]

[PHP] pobierz, plaintext 
//////////////////////FUNKCJa///////////////////////////////////
function filter($data) {
	$data = trim(htmlentities(strip_tags($data)));
 
	if (get_magic_quotes_gpc())
		$data = stripslashes($data);
 
	$data = mysql_real_escape_string($data);
 
	return $data;
}
////////////////////////////////////////////////////////////////////////////
 
if(isset($_COOKIE['id']) && isset($_COOKIE['salt'])){
 
	$userid= filter($_COOKIE['id']);
	$salt= filter($_COOKIE['salt']);
	$user= $_COOKIE['user'];
 
$sql=mysql_query("SELECT * FROM uzytkownicy");
$data=mysql_fetch_array($sql);
 
if($data[salt] == $salt&& $data[id] == $userid && $data[name] == $user){
echo"<div>Dostęp tylko dla zalogowanego</div>";
}else{
echo"<div>Nie jesteś zalogowany</div>";
}
 
}
[PHP] pobierz, plaintext 

Mianowicie próbuje zablokować jakoś dostęp przed zmianą cookies.
Dokładnie mam na myśli aby użytkownik(hacker) nie bawił się ciasteczkami zmieniając ID użytkownika czy także jego imię.Tu też mieć dostęp do innych użytkowników w tak bardzo prosty sposób.

Czy moje rozwiązanie jest właściwe?

Ten post edytował Soulast 10.11.2010, 20:31:31

[IceManSpy]

Możesz też trzymać ID i imię w sesji. Nie będziesz musiał za każdym razem sprawdzać w bazie tych danych.

[CuteOne]

Soulast: ale co mu po tym, że będzie się bawił ciachami? Z tego co widzę masz jakiś salt [dziwna nazwa ;p], który zapewne jest jakimś unikatowym hashem dla każdego użytkownika. Jeżeli tak to jego edycja wywali "Nie jesteś zalogowany".

Pamiętaj również o odpowiedniej konfiguracji php.ini i zabezpieczeniu przed xss a nie powinieneś mieć problemu z podszywaniem się użytkowników