|
איך לאבטח את זה בצורה טובה?
שלום,
לאחרונה אני מתעסק בפרויקט שנחשב גדול מבחינתי, עיקר הפרוייקט הוא יומן אינטרנטי שבו הלקוחות יכולים לקבוע תורים לקבלת שירות מסוים, היומן עצמו כבר בנוי ועשיתי התחברות משתמשים, אבל מספר הלקוח שהתחבר עובר ליומן דרך GET וזה יוצא ככה נגיד: http://www.blabla.co.il/index.php?num=1 ואז אם אני (בתור לקוח) כותב במקום 1 מספר אחר אז הוא מראה כאילו אני נכנסתי בתור לקוח אחר, אם מישהו יכול לעזור לי לחסום את הפירצה הזו או להדריך אותי איך לחסום אני אודה לו מאוד! |
תעבוד עם סשן או סשן מבוסס מסד נתונים.
לך לפי ip ותקשר אליו את הid של הלקוח |
אבל אם הIP של הלקוח משתנה?
|
קח את ה- ID של המשתמש מהעוגיה או משהו.. איך שזה עובד אצלך.
נגיד אחרי שאני מתחבר אני מזוהה ככה: cookies: id - 13 password - 123456 (סתם דוגמה) אז אחרי שאתה מאמת שהפרטים האלה באמת נכונים והמשתמש מחובר, אין בעיה להשתמש ב- ID שנמצא בעוגיה בתור ה- ID שיכנס בלוג אחרי זה. |
לא הבנת אחי או שאני לא הבנתי את ההסבר שלך,
אולי פשוט תקח דמו ותראה לבד מה הבעיה, http://www.zlilnails.co.il/test/aaa.php שם משתמש: 6339104 סיסמא: 123456 |
ציטוט:
למה שלא תאחסן SESSION או שאת הSESSION הקיים שיכיל את הID וממנו תקבל את הID של הלקוח. |
הבנתי אותך.
אני פשוט לא מבין למה אתה מסתבך עם זה, מה הבעיה לקחת את האיידי מהעוגיה/מהסיישן (מאיפה שאתה שומר את הפרטים לא יודע)? הרי כשהמשתמש מתחבר אתה שומר את הפרטים כדי שזה יזהה שהוא מחובר, יש שם את האיידי, אז למה לא להשתמש בזה? |
מה? למה ככה? תצליב במסד שם וסיסמה ואז תציג את הנתונים שנמצאים באותה שורה שלהם. (את התאריכים, שעות וכד')
|
תעשה טבלה Users
איידי, שם משתמש, סיסמא, תאריך התחברות אחרון, שעה אחרונה, ואת הפרטים שאתה רוצה ותשתמש בשאילתה שמכוונת למשתמש, לפי סיישן - שמתחברים, נוצר סיישן לפי השם משתמש שאיתו התחברת קוד:
$select = mysql_query("SELECT * FROM `users` WHERE `username`='".$_SESSION['forums_name']."'") or die(mysql_error()); |
בסדר תודה רבה לכולם הבנתי מה הטעות שלי!
אפשר לנעול... |
| כל הזמנים הם GMT +2. הזמן כעת הוא 16:15. |
מופעל באמצעות VBulletin גרסה 3.8.6
כל הזכויות שמורות ©
כל הזכויות שמורות לסולל יבוא ורשתות (1997) בע"מ