איך לאבטח את זה בצורה טובה? - הוסטס

sts · 16-08-10, 13:10

שלום,
לאחרונה אני מתעסק בפרויקט שנחשב גדול מבחינתי, עיקר הפרוייקט הוא יומן אינטרנטי שבו הלקוחות יכולים לקבוע תורים לקבלת שירות מסוים,

היומן עצמו כבר בנוי ועשיתי התחברות משתמשים, אבל מספר הלקוח שהתחבר עובר ליומן דרך GET
וזה יוצא ככה נגיד: http://www.blabla.co.il/index.php?num=1
ואז אם אני (בתור לקוח) כותב במקום 1 מספר אחר אז הוא מראה כאילו אני נכנסתי בתור לקוח אחר,
אם מישהו יכול לעזור לי לחסום את הפירצה הזו או להדריך אותי איך לחסום אני אודה לו מאוד!

**OrPol** · 16-08-10, 13:15

תעבוד עם סשן או סשן מבוסס מסד נתונים.
לך לפי ip ותקשר אליו את הid של הלקוח

sts · 16-08-10, 13:28

אבל אם הIP של הלקוח משתנה?

אדיר · 16-08-10, 15:20

קח את ה- ID של המשתמש מהעוגיה או משהו.. איך שזה עובד אצלך.

נגיד אחרי שאני מתחבר אני מזוהה ככה:
cookies:
id - 13
password - 123456 (סתם דוגמה)

אז אחרי שאתה מאמת שהפרטים האלה באמת נכונים והמשתמש מחובר,
אין בעיה להשתמש ב- ID שנמצא בעוגיה בתור ה- ID שיכנס בלוג אחרי זה.

sts · 16-08-10, 18:23

לא הבנת אחי או שאני לא הבנתי את ההסבר שלך,

אולי פשוט תקח דמו ותראה לבד מה הבעיה,
http://www.zlilnails.co.il/test/aaa.php
שם משתמש: 6339104
סיסמא: 123456

Hagaibl · 16-08-10, 19:11

ציטוט:

נכתב במקור על ידי sts

לא הבנת אחי או שאני לא הבנתי את ההסבר שלך,

אולי פשוט תקח דמו ותראה לבד מה הבעיה,
http://www.zlilnails.co.il/test/aaa.php
שם משתמש: 6339104
סיסמא: 123456

למה אתה עובד עם משתנש מסוג GET?
למה שלא תאחסן SESSION או שאת הSESSION הקיים שיכיל את הID וממנו תקבל את הID של הלקוח.

אדיר · 16-08-10, 21:33

הבנתי אותך.

אני פשוט לא מבין למה אתה מסתבך עם זה,
מה הבעיה לקחת את האיידי מהעוגיה/מהסיישן (מאיפה שאתה שומר את הפרטים לא יודע)?

הרי כשהמשתמש מתחבר אתה שומר את הפרטים כדי שזה יזהה שהוא מחובר, יש שם את האיידי, אז למה לא להשתמש בזה?

RAS · 17-08-10, 00:18

מה? למה ככה? תצליב במסד שם וסיסמה ואז תציג את הנתונים שנמצאים באותה שורה שלהם. (את התאריכים, שעות וכד')

Adird · 17-08-10, 11:41

תעשה טבלה Users
איידי, שם משתמש, סיסמא, תאריך התחברות אחרון, שעה אחרונה, ואת הפרטים שאתה רוצה
ותשתמש בשאילתה שמכוונת למשתמש, לפי סיישן - שמתחברים, נוצר סיישן לפי השם משתמש שאיתו התחברת

קוד:

$select = mysql_query("SELECT * FROM `users` WHERE `username`='".$_SESSION['forums_name']."'") or die(mysql_error());

בהצלחה .

sts · 17-08-10, 12:27

בסדר תודה רבה לכולם הבנתי מה הטעות שלי!
אפשר לנעול...

16-08-10, 13:10	# 1
sts חבר בקהילה מיני פרופיל תאריך הצטרפות: May 2007 הודעות: 262	איך לאבטח את זה בצורה טובה? שלום, לאחרונה אני מתעסק בפרויקט שנחשב גדול מבחינתי, עיקר הפרוייקט הוא יומן אינטרנטי שבו הלקוחות יכולים לקבוע תורים לקבלת שירות מסוים, היומן עצמו כבר בנוי ועשיתי התחברות משתמשים, אבל מספר הלקוח שהתחבר עובר ליומן דרך GET וזה יוצא ככה נגיד: http://www.blabla.co.il/index.php?num=1 ואז אם אני (בתור לקוח) כותב במקום 1 מספר אחר אז הוא מראה כאילו אני נכנסתי בתור לקוח אחר, אם מישהו יכול לעזור לי לחסום את הפירצה הזו או להדריך אותי איך לחסום אני אודה לו מאוד! __________________ ציפורני צליל ציפורניים בניית ציפורניים פדיקור מניקור

16-08-10, 13:28	# 3
sts חבר בקהילה מיני פרופיל תאריך הצטרפות: May 2007 הודעות: 262	אבל אם הIP של הלקוח משתנה? __________________ ציפורני צליל ציפורניים בניית ציפורניים פדיקור מניקור

16-08-10, 15:20	# 4
אדיר עסק רשום [?] מיני פרופיל תאריך הצטרפות: Mar 2008 מיקום: אשקלון הודעות: 1,714	קח את ה- ID של המשתמש מהעוגיה או משהו.. איך שזה עובד אצלך. נגיד אחרי שאני מתחבר אני מזוהה ככה: cookies: id - 13 password - 123456 (סתם דוגמה) אז אחרי שאתה מאמת שהפרטים האלה באמת נכונים והמשתמש מחובר, אין בעיה להשתמש ב- ID שנמצא בעוגיה בתור ה- ID שיכנס בלוג אחרי זה. __________________ LinkedIn \| אני, אדיר \| העלאת תמונות

16-08-10, 18:23	# 5
sts חבר בקהילה מיני פרופיל תאריך הצטרפות: May 2007 הודעות: 262	לא הבנת אחי או שאני לא הבנתי את ההסבר שלך, אולי פשוט תקח דמו ותראה לבד מה הבעיה, http://www.zlilnails.co.il/test/aaa.php שם משתמש: 6339104 סיסמא: 123456 __________________ ציפורני צליל ציפורניים בניית ציפורניים פדיקור מניקור Last edited by shev.com; 06-02-11 at 01:28..

16-08-10, 21:33	# 7
אדיר עסק רשום [?] מיני פרופיל תאריך הצטרפות: Mar 2008 מיקום: אשקלון הודעות: 1,714	הבנתי אותך. אני פשוט לא מבין למה אתה מסתבך עם זה, מה הבעיה לקחת את האיידי מהעוגיה/מהסיישן (מאיפה שאתה שומר את הפרטים לא יודע)? הרי כשהמשתמש מתחבר אתה שומר את הפרטים כדי שזה יזהה שהוא מחובר, יש שם את האיידי, אז למה לא להשתמש בזה? __________________ LinkedIn \| אני, אדיר \| העלאת תמונות


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

16-08-10, 13:15	# 2
OrPol א.פורום תוכנה עסק רשום מיני פרופיל תאריך הצטרפות: Aug 2006 הודעות: 1,979	תעבוד עם סשן או סשן מבוסס מסד נתונים. לך לפי ip ותקשר אליו את הid של הלקוח

17-08-10, 00:18	# 8
RAS חבר וותיק מיני פרופיל תאריך הצטרפות: Jul 2007 הודעות: 1,228	מה? למה ככה? תצליב במסד שם וסיסמה ואז תציג את הנתונים שנמצאים באותה שורה שלהם. (את התאריכים, שעות וכד')

17-08-10, 11:41	# 9
Adird חבר חדש מיני פרופיל תאריך הצטרפות: Aug 2010 הודעות: 4	תעשה טבלה Users איידי, שם משתמש, סיסמא, תאריך התחברות אחרון, שעה אחרונה, ואת הפרטים שאתה רוצה ותשתמש בשאילתה שמכוונת למשתמש, לפי סיישן - שמתחברים, נוצר סיישן לפי השם משתמש שאיתו התחברת קוד: $select = mysql_query("SELECT * FROM `users` WHERE `username`='".$_SESSION['forums_name']."'") or die(mysql_error()); בהצלחה . __________________

17-08-10, 12:27	# 10
sts חבר בקהילה מיני פרופיל תאריך הצטרפות: May 2007 הודעות: 262	בסדר תודה רבה לכולם הבנתי מה הטעות שלי! אפשר לנעול... __________________ ציפורני צליל ציפורניים בניית ציפורניים פדיקור מניקור

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)