[PHP]usuwanie konta poprzez GET Opcje

[Krismen]

Witam. Jeśli mam na stronie możliwość usunięcia konta (oczywiście po zalogowaniu) poprzez kliknięcie w button 'usun konto':

[PHP] pobierz, plaintext 
www.nazwastrony/usun.php?id=95
[PHP] pobierz, plaintext 

Czyli poprzez zmienną GET. Jak wiadomo będzie to widoczne w pasku przeglądarki, więc jeśli ktoś zmieni 95 na np. 26 to usuwa mi z bazy usera o id 26. Zresztą ten sam problem mam podczas edycji konta czy systemu prywatnych wiadomości. Pytanie: czy mod_rewrite będzie dobrym i 100% zabezpieczeniem się przed takim problemem ? Czy są jakiś inne rowiązania ?

[by_ikar]

Nie, mod_rewrite, nie ma tutaj nic do rzeczy. Brak sprawdzania czy dany użytkownik, który chce zmienić swoje dane, jest danym użytkownikiem. A jest to bardzo proste do wykonania, zwłaszcza jeżeli jakieś dane użytkownika trzymasz w sesji.

[pedro84]

Absolutnie nie, mod_rewrite nie zabezpieczy Cię przed niczym.

Przed usunięciem czegokolwiek przecież jakieś uprawnienia sprawdzasz, prawda?

[Krismen]

Tak, dane każdego usera mam w sesji. Czy mógłbym prosić o jakieś wskazówki jak sprawdzić czy dany użytkownik, który chce zmienić swoje dane, jest danym użytkownikiem ? A co do mod_rewrite to myślałem, że poprostu ukryje zmienne GET w pasku i będzie po problemie... Czy mimo ich ukrycia można je jakoś zobaczyć ?

[Rysh]

[PHP] pobierz, plaintext 
if($_GET['usun_konto'] == $_SESSION['id_zalogowanego']) {
     // kod usuwania.
}
[PHP] pobierz, plaintext 

[by_ikar]

A co do mod_rewrite to myślałem, że poprostu ukryje zmienne GET w pasku i będzie po problemie...

Takich danych nie ukryjesz, każde dane czy to post/get które są przesyłane do serwera sobie można podejrzeć. Pani krysia w księgowości tego nie podejrzy i nie zrozumie, ale pierwszy lepszy webdeveloper podejrzy, zrozumie, i skasuje ci wszystkie konta.

[grrizli]

Warto dodać, że można zrobić link w stylu
www.nazwastrony/usun_konto.php, który kasuje konto użytkownika w sposób

Kod

    usun_usera($_SESSION['id_zalogowanego']);
// gdzie usun_usera to jakas Twoja funkcja do tego

Warto dodać, że takie coś, jak również w mniejszym stopniu to co zrobiłeś jest podatne na atak CSRF. Przeslanie na gg (np. skroconego w celu ukrycia) linku do tej strony/podstrony umozliwia nieswiadome samoskasowanie sobie konta. W Twoim przypadku trzeba znać id użytkownika, ale można je też zdobyć, dlatego potrzebujesz zabezpieczenia np. w postaci tokena. Poczytaj na ten temat

[by_ikar]

Tokena jak tokena, ogólnie wypadałoby żeby było jakiekolwiek potwierdzenie danej czynności. Żeby nie było tak że ktoś wchodzi pod dany link, i sobie kasuje co chce..

[Rysh]

Tokena jak tokena, ogólnie wypadałoby żeby było jakiekolwiek potwierdzenie danej czynności. Żeby nie było tak że ktoś wchodzi pod dany link, i sobie kasuje co chce..

W czym problem wziąć kod ten co podałem i dodać jeszcze tam:

[PHP] pobierz, plaintext 
if(isset($_POST['usun']) && $_POST['usun'] = 'tak') {
    //zapytanie usuwające użytkownika
    session_destroy();
} else {
   echo 'Czy na pewno chcesz usunąć swoje konto? <br />';
   echo '<form method="POST"><input type="submit" value="TAK" name="usun" /></form>';
}
[PHP] pobierz, plaintext 

Edit:
Z nudów napisałem i krótki skrypt do tego. Wystarczy zmodyfikować linijkę 17 i 18 oraz usunąć 3-5.
Dodatkowo trzeba podać swoje hasło aby usunąć konto.
Działanie: http://rysh.tk/forum/del_acc.php

[PHP] pobierz, plaintext 
<?php
session_start();
if(!isset($_SESSION['id'])) {
	$_SESSION['id'] = rand(1,233);
}
?>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/html4/strict.dtd">
<html>
<head>
<title>Usuwanie swojego konta.</title>
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
</head>
<body>
<?php
if($_GET['usun_konto'] == $_SESSION['id']) {
	if(isset($_POST['usun']) && $_POST['usun'] = 'tak') {
		// zapytanie: usuń użytkownika where id = $_SESSION['id'] and password = $_POST['haslo'] 
		if(true == true) {	//sprawdza wynik zapytania.
			echo 'Twoje konto zostało usunięte.<br />';
			if(session_destroy()) {
				echo 'Zostałeś wylogowany. <br />';
			}
		} else {
			echo 'Twoje konto <b>NIE zostało usunięte</b>, upewnij się że wpisałeś prawidłowe hasło.<br />';
		}
	} else {
		echo 'Czy na pewno chcesz usunąć swoje konto? <br />';
		echo '<form method="POST">';
		echo 'Hasło: <br /><input type="password" name="haslo" /><br />';
		echo '<input type="submit" value="TAK" name="usun" /></form>';
	}
} else {
	echo 'Kliknij <a href="?usun_konto='. $_SESSION['id'] .'">tutaj</a> jeśli chcesz usunąć swoje konto.<br />';
}
?>
</body>
</html>
[PHP] pobierz, plaintext 

Ten post edytował Rysh 16.03.2012, 17:44:13