[php] Cookie -> zmiana wartosci przez usera

[php] Cookie -> zmiana wartosci przez usera, Jak się tego wystrzegać, jak to zablokowac.

entine Zobacz profil	8.09.2007, 12:44:11 Post #1
Grupa: Zarejestrowani Postów: 9 Pomógł: 1 Dołączył: 18.08.2007 Skąd: $this Ostrzeżenie: (0%)	Pytam. Mam takie nurtujące mnie pytanie. Mianowicie jak sprawdzacie, czy użytkownik strony nie zmienił sobie wartości w ciasteczku ($_COOKIE). Ja kiedyś robiłem to w bardzo prosty, lecz mało profesjonalny sposób. Przykład z logowania: Użytkownik loguje się, zapisuje mu się ciasteczko login i id oraz md5(base_64decode(pass)). Później za każdym przeładowaniem strony skrypt sprawdzał, czy są takie dane w bazie danych, mniej więcej tak: [SQL] pobierz, plaintext SELECT * FROM Logowanie WHERE login=$login AND haslo=$haslo AND id=$id [SQL] pobierz, plaintext Jest to niestety sposób niedopuszczalny, a to dlatego, że jest niewydajny, szczególnie dla serwisów z duża ilością wejść dziennych. Bardzo jestem ciekawy jak wy to rozwiązujecie, a może jest jakaś inna możliwość w php, o której nie wiem ? Pozdrawiam -------------------- actually, my recent projects: entine.wordpress.com - tworzenie stron , mvc , wzorce strukturalne , php , mysql , javascript , ajax - webdesign & webcoding = webmaster

GrayHat Zobacz profil	8.09.2007, 13:45:09 Post #2
Grupa: Zarejestrowani Postów: 566 Pomógł: 18 Dołączył: 23.08.2003 Skąd: Łomża Ostrzeżenie: (0%)	dodawaj do cookie checksum np: [PHP] pobierz, plaintext <?php $_COOKIE['login'] = 'zenek'; $_COOKIE['login_time'] = time(); $_COOKIE['checksum'] = md5($_COOKIE['login'].time()); ?> [PHP] pobierz, plaintext i potem sprawdzasz: [PHP] pobierz, plaintext <?php if ($_COOKIE['checksum'] == md5($_COOKIE['login'].$_COOKIE['login_time'])){ // dane autentyczne } else { // ktos przyhakierzyl ;P } ?> [PHP] pobierz, plaintext -------------------- *Note: No animals were killed durning the construction of this post.

entine Zobacz profil	8.09.2007, 16:39:41 Post #3
Grupa: Zarejestrowani Postów: 9 Pomógł: 1 Dołączył: 18.08.2007 Skąd: $this Ostrzeżenie: (0%)	@GrayHat: Jesteś genialny ! W życiu nie wpadłbym na coś tak prostego i fajnego. Wprawdzie można shakować nadal, ale prawdopodobieństwo jest dużo mniejsze niż w przypadku nie zabezpieczenia. Dzięki ! -------------------- actually, my recent projects: entine.wordpress.com - tworzenie stron , mvc , wzorce strukturalne , php , mysql , javascript , ajax - webdesign & webcoding = webmaster

GrayHat Zobacz profil	8.09.2007, 16:59:45 Post #4
Grupa: Zarejestrowani Postów: 566 Pomógł: 18 Dołączył: 23.08.2003 Skąd: Łomża Ostrzeżenie: (0%)	Dziekuje za slowa uznania. Mozesz jeszcze obnizyc prawdopodobienstwo zlamania checksumy trzymajac w configu jakas wartosc np liczbowa ktora jest generowana przy instalacji systemu a potem dodawana do checsum: [PHP] pobierz, plaintext <?php $config['checksumAddCode'] = 123456789; ?> [PHP] pobierz, plaintext i nasz kod cookie: [PHP] pobierz, plaintext <?php $_COOKIE['login'] = 'zenek'; $_COOKIE['login_time'] = time(); $_COOKIE['checksum'] = md5($_COOKIE['login'].time().$config['checksumAddCode']); ?> [PHP] pobierz, plaintext [PHP] pobierz, plaintext <?php if ($_COOKIE['checksum'] == md5($_COOKIE['login'].$_COOKIE['login_time'].$config['checksumAddCode'])){ // dane autentyczne } else { // ktos przyhakierzyl ;P } ?> [PHP] pobierz, plaintext teraz nawet jak "hakier" bedzie wiedzial o kodowaniu hasla to i tak nie zgadnie wartosci z configu pozdrawiam Ten post edytował GrayHat 8.09.2007, 17:01:33 -------------------- *Note: No animals were killed durning the construction of this post.

1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Standardowy · Przełącz na: Linearny+ · Przełącz na: Drzewo

Aktualny czas: 11.05.2025 - 09:41

Hosting zapewnia

Forum PHP.pl