הוסטס - פורום אחסון האתרים הגדול בישראל - שאלה פשוטה למתכנתי אינטרנט (אבטחת עוגיות)

הוסטס - פורום אחסון האתרים הגדול בישראל (https://hosts.co.il/forums/index.php)

- פורום תיכנות (https://hosts.co.il/forums/forumdisplay.php?f=14)

- - שאלה פשוטה למתכנתי אינטרנט (אבטחת עוגיות) (https://hosts.co.il/forums/showthread.php?t=63865)

phpyo

07-06-08 01:27

שאלה פשוטה למתכנתי אינטרנט (אבטחת עוגיות)

שלום!
אם אני בונה מערכת login מבוססת על עוגיות, והבדיקה אם המתשמש הוא מנהל היא בדיקה האם קיימת עוגייה של מנהל, כיצד אני יכול להבטיח לעצמי שהמשתמש לא יצר עוגיה באותו השם כמו שאני קבעתי ובכך בעצם "יצר" לו ונתן לעצמו גישת מנהל? האם ניתן לאבטח זאת?

4ior	07-06-08 02:49

תן לו גם סיסמה..

phpyo

07-06-08 10:04

לא הבנתי את כוונתך

snirk

07-06-08 10:46

ציטוט:

נכתב במקור על ידי phpyo (פרסם 639857)

לא הבנתי את כוונתך

באותה מידה שאתה שם אם הוא מנהל או לא אתה שם גם את שם המשתמש והסיסמא, וכך אתה מאמת את הפרטים בכול פעולה\עמוד.

daMn	07-06-08 11:06

אתה לא בודק רק אם העוגיה קיימת, אתה בודק את התוכן שלה.
תזכור לקודד את התוכן ולהשוות למסד נתונים.

Striker

07-06-08 14:31

תשמע , אני יתן לך תשובה רצינית נקווה שתלמד ממנה משהו.

1. לאחר ההתחברות תבדוק אם המשתמש קיים והסיסמה מתאימה.
2. אם הפרטים של המשתמש נכונים תריץ במסד בדיקה אם הוא בדרגת ניהול.
3. אם כן שיוצג לו אפשרות להכנס לפאנל\לערוך תגובות וכדומה..

אני גם ממליץ לך (הרבה מערכות כמו IPB 2.X עושות את זה) זה ליצור עוגיה נוספת , שמכילה את המשתמש+הסיסמה ועברה הצפנה כלשהית.
ככה תוכל לבצע אימות שהמשתמש לא ערך את העוגיות (שיפור אבטחה לא רע =])

כל הזמנים הם GMT +2. הזמן כעת הוא 12:39.