ציטוט:
נכתב במקור על ידי Liorl
כן .. מכיוון שקוקיז כל אחד שיודע להתעסק קצת יכול לערוך אותו .. מהסיבה הזאת צריך לבנות אבטחה בשבילו..
מהצד השני אתה יכול לשלוט על הזמן שהמשתמש יהיה מחובר ... ובסישן אתה לא יכול
|
נתקלתי בהרבה שטויות שאתה זורק בפורום תגבה את מה שאתה אומר ב-הוכחות.
אתה טועה. שוב.
וממשיך להטעות אנשים, חבל.. אם אתה לא יודע פשוט אל תנסה לעזור.
זיוף Sessions אפשרי בדיוק באותה רמה של זיוף Cookies.
אז איך כן תעשה את זה ?
- תיצור כפתור CheckBox של "זכור אותי" לדעת אם לשמור את העוגייה במחשב (אולי המשתמש לא משתמש הרגע במחשב שלו?)
- בדוק עם המסד נתונים אם המשתמש קיים והסיסמא תקינה במקרה אם כן המשך הלאה.
- תגדיר Session במקרה שלא השתמש באופציה "זכור אותי"
- במקרה שכן השתמש באופציה "זכור אותי" תגדיר עוגייה
- בנוסף את הסיסמא תדאג להצפין באחת מההצפנות המוצעות בPHP לדוגמא: md5, sha1, crc32.
נקודות חשובות:
שים לב לא להגדיר בצורה הבאה (כמו שהראו לך למעלה):
קוד:
$username = $_POST["user"]
מן הסתם לפני שאתה מגדיר Cookies או Sessions
אתה בודק עם המסד נתונים אם המשתמש קיים והסיסמא שהוזנה נכונה.
במקרה של שימוש בצורה הזאת אתה חושף את המסד נתונים שלך להזרקות SQL.
על מנת לקרוא עוד על הזרקות SQL:
http://www.unixwiz.net/techtips/sql-injection.html
אז מה כן אפשר לעשות?
השתמש בפונקציה mysql_real_escape_string !
קוד:
$username = mysql_real_escape_string($_POST['user'])