שאלה פשוטה למתכנתי אינטרנט (אבטחת עוגיות) - הוסטס

phpyo · 07-06-08, 01:27

שלום!
אם אני בונה מערכת login מבוססת על עוגיות, והבדיקה אם המתשמש הוא מנהל היא בדיקה האם קיימת עוגייה של מנהל, כיצד אני יכול להבטיח לעצמי שהמשתמש לא יצר עוגיה באותו השם כמו שאני קבעתי ובכך בעצם "יצר" לו ונתן לעצמו גישת מנהל? האם ניתן לאבטח זאת?

4ior · 07-06-08, 02:49

תן לו גם סיסמה..

phpyo · 07-06-08, 10:04

לא הבנתי את כוונתך

snirk · 07-06-08, 10:46

ציטוט:

נכתב במקור על ידי phpyo

לא הבנתי את כוונתך

באותה מידה שאתה שם אם הוא מנהל או לא אתה שם גם את שם המשתמש והסיסמא, וכך אתה מאמת את הפרטים בכול פעולה\עמוד.

daMn · 07-06-08, 11:06

אתה לא בודק רק אם העוגיה קיימת, אתה בודק את התוכן שלה.
תזכור לקודד את התוכן ולהשוות למסד נתונים.

~~Striker~~ · 07-06-08, 14:31

תשמע , אני יתן לך תשובה רצינית נקווה שתלמד ממנה משהו.

1. לאחר ההתחברות תבדוק אם המשתמש קיים והסיסמה מתאימה.
2. אם הפרטים של המשתמש נכונים תריץ במסד בדיקה אם הוא בדרגת ניהול.
3. אם כן שיוצג לו אפשרות להכנס לפאנל\לערוך תגובות וכדומה..

אני גם ממליץ לך (הרבה מערכות כמו IPB 2.X עושות את זה) זה ליצור עוגיה נוספת , שמכילה את המשתמש+הסיסמה ועברה הצפנה כלשהית.
ככה תוכל לבצע אימות שהמשתמש לא ערך את העוגיות (שיפור אבטחה לא רע =])

07-06-08, 01:27	# 1
phpyo חבר בקהילה מיני פרופיל תאריך הצטרפות: Jan 2007 הודעות: 180	שאלה פשוטה למתכנתי אינטרנט (אבטחת עוגיות) שלום! אם אני בונה מערכת login מבוססת על עוגיות, והבדיקה אם המתשמש הוא מנהל היא בדיקה האם קיימת עוגייה של מנהל, כיצד אני יכול להבטיח לעצמי שהמשתמש לא יצר עוגיה באותו השם כמו שאני קבעתי ובכך בעצם "יצר" לו ונתן לעצמו גישת מנהל? האם ניתן לאבטח זאת?

07-06-08, 11:06	# 5
daMn הוסטסניון מיני פרופיל תאריך הצטרפות: Mar 2007 גיל: 34 הודעות: 2,050	אתה לא בודק רק אם העוגיה קיימת, אתה בודק את התוכן שלה. תזכור לקודד את התוכן ולהשוות למסד נתונים. __________________ "חינוך למדעי המחשב לא יכול להפוך אף אחד למתכנת מומחה יותר מאשר לימוד על מברשות וצבעים יכול להפוך מישהו לצייר מיומן." (אריק ס. ריימונד)


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

07-06-08, 02:49	# 2
4ior חבר וותיק מיני פרופיל תאריך הצטרפות: Oct 2005 הודעות: 1,451	תן לו גם סיסמה..

07-06-08, 10:04	# 3
phpyo חבר בקהילה מיני פרופיל תאריך הצטרפות: Jan 2007 הודעות: 180	לא הבנתי את כוונתך

07-06-08, 14:31	# 6
~~Striker~~ Permanently Banned מיני פרופיל תאריך הצטרפות: May 2007 הודעות: 812	תשמע , אני יתן לך תשובה רצינית נקווה שתלמד ממנה משהו. 1. לאחר ההתחברות תבדוק אם המשתמש קיים והסיסמה מתאימה. 2. אם הפרטים של המשתמש נכונים תריץ במסד בדיקה אם הוא בדרגת ניהול. 3. אם כן שיוצג לו אפשרות להכנס לפאנל\לערוך תגובות וכדומה.. אני גם ממליץ לך (הרבה מערכות כמו IPB 2.X עושות את זה) זה ליצור עוגיה נוספת , שמכילה את המשתמש+הסיסמה ועברה הצפנה כלשהית. ככה תוכל לבצע אימות שהמשתמש לא ערך את העוגיות (שיפור אבטחה לא רע =])

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)