הוסטס - פורום אחסון האתרים הגדול בישראל

- פורום תיכנות (https://hosts.co.il/forums/forumdisplay.php?f=14)

- - אבטחת עוגיות (https://hosts.co.il/forums/showthread.php?t=48133)

ציטוט:

נכתב במקור על ידי LosNir (פרסם 505453)

מה הקשר?

סטרינג רנדאומלי אמרתי.

ומה קורה כשהעוגיה פגה? הנתונים במסד נשארים?

כל התחברות, זה מוחק את כל הסשנס שהם יותר מ-X זמן+אם הסשן פג תוקפו, זה מנתק אותך.

ציטוט:

נכתב במקור על ידי SmsBanner.net (פרסם 505455)

ומה קורה כשהעוגיה פגה? הנתונים במסד נשארים?

cronjob שמוחק שורות שנשארו יותר מהזמן שקבעת.
בשביל זה צריך להוסיף עוד שדה שבו יהיה מתי השורה נוספה.

זה סתם יקח שאילתות מיותרות כל כמה זמן לעשות את זה-ואם האתר לא פעיל?
עדיף בכל התחברות, זה מוחק את כל מה שפג תוקף.

ציטוט:

נכתב במקור על ידי MasterT (פרסם 505462)

זה סתם יקח שאילתות מיותרות כל כמה זמן לעשות את זה-ואם האתר לא פעיל?
עדיף בכל התחברות, זה מוחק את כל מה שפג תוקף.

גם אפשרי.

אוקי תודה,
ברשותכם אני אנסה לסכם:

בבסיס הנתונים שלי תהיה טבלה עם שם משתמש, סיסמא ושדה נוסף של סטרינג שיווצר בזמן התחברות משתמש.

כאשר משתמש ינסה להתחבר, המערכת תוודא ששם המשתמש והסיסמא שהוזנו תואמים לפרטים הרשומים בטבלת המשתמשים
במידה והפרטים נכונים, המערכת תיצור סטרינג רנדומלי
(עם מספר תווים קבועים עבור כל משתמש כך שלא יקרה מצב שיווצרו סטרינגים זהים למשתמשים שונים)
המערכת תעדכן את השדה של הסטרינג בטבלה בבסיס הנתונים
בנוסף תיצור עוגיה שתכיל: את הסטרינג שנוצר ואת שם המשתמש (לאחר שקודד בדרך זו או אחרת)
ותיצור Session עם פרטי המשתמש (וזאת על מנת לא לפנות לבסיס הנתונים בכל פניה לעמוד כלשהו)
כאשר המשתמש יעבור בין העמודים - המערכת תבדוק האם קיים ה Session שיצרנו,
במידה והוא לא קיים המערכת תבדוק אם קיימת עוגיה (עם סטרינג \ שם משתמש מקודד) ותשווה את הפרטים בעוגיה לפרטים בבסיס הנתונים - במידה והפרטים זהים - תיצור Session מחדש.

נשמע טוב :)

יש סוג של יתרון, אולי חסרון והוא כאשר המשתמש ינסה להתחבר במחשב אחר - הסטרינג יתעדכן, וכאשר יחזור לאתר שוב במחשב הראשון - יצטרך להתחבר מחדש.

ציטוט:

נכתב במקור על ידי SmsBanner.net (פרסם 505475)

כאשר משתמש ינסה להתחבר, המערכת תוודא ששם המשתמש והסיסמא שהוזנו תואמים לפרטים הרשומים בטבלת המשתמשים
במידה והפרטים נכונים, המערכת תיצור סטרינג רנדומלי
(עם מספר תווים קבועים עבור כל משתמש כך שלא יקרה מצב שיווצרו סטרינגים זהים למשתמשים שונים)
המערכת תעדכן את השדה של הסטרינג בטבלה בבסיס הנתונים
בנוסף תיצור עוגיה שתכיל: את הסטרינג שנוצר ואת שם המשתמש (לאחר שקודד בדרך זו או אחרת)
ותיצור Session עם פרטי המשתמש (וזאת על מנת לא לפנות לבסיס הנתונים בכל פניה לעמוד כלשהו)
כאשר המשתמש יעבור בין העמודים - המערכת תבדוק האם קיים ה Session שיצרנו,
במידה והוא לא קיים המערכת תבדוק אם קיימת עוגיה (עם סטרינג \ שם משתמש מקודד) ותשווה את הפרטים בעוגיה לפרטים בבסיס הנתונים - במידה והפרטים זהים - תיצור Session מחדש.

מוסיפים שורה.. למה שיתעדכן?

בהוספה של המשתמש למסד, אתה יוצר מחרוזת רנדומלית כלשהי (רצוי להצפין אותה עם md5)
ובהתחברות של המשתמש אתה בודק אם השם משתמש והסיסמא נכונים, אם כן,
אתה יוצר עוגיה עם הערך של המחרוזת הרנדומלית שיצרת בהרשמה.

ואז בכל עמוד שאתה רוצה לבדוק אם המשתמש מחובר, אתה בודק האם הערך של העוגיה קיים במסד, ואם כן, שולף את הפרטים של המשתמש הזה.

בהצלחה גורוש ;)

ציטוט:

נכתב במקור על ידי The Crow (פרסם 505794)

זה מה שבעצם ניר הסביר...

אני קצת חושש מהדרך הזו, מכיוון שאם מכניסים לעוגיה את הערך הזה בלבד אז יכולים ליצור עוגיות בניסוי וטעייה ע"י אקספלוייט

ציטוט:

נכתב במקור על ידי Eran-s (פרסם 505799)

אפשר להוסיף לזה עוד משתנים רנדומאליים, או משהו כמו:

PHP קוד:


		
			
$str = $username.substr(0, strlen(md5($password) - 16), $password).mt_rand(0,9999);

$str = substr(0, 16, md5($str));

מה דעתכם?

ציטוט:

זה מה שבעצם ניר הסביר...

מהנה להיות עז.