ציטוט:
נכתב במקור על ידי Nils
סליחה אם לא הבנתם אותי נכון
אמרתי שאני יודע את זה ויש לי את הקבצים האלה כבר
הבעיה היא שאם הוא יצור סשן X אז הוא יהיה קיים
ואז הבן אדם יוכל להיכנס לבן אדם אחר אם הוא רק ישנה את הכתובת
יש דרך לבטל את זה? לאבטח שרק X יוכל להיכנס לדברים של X וY לY?
יעני אם אני מתחבר אז הסשן קיים והוא שולח אותי לדף שמדפיס לפי ID... ואז אני יכול פשוט לשנות את הID בכתובת ולראות דברים של משתמש אחר \=
|
לא הבנתי מה הבעיה.
למה המערכת בנויה של דפים לפי ID
עזוב את זה שזה לא יעיל זה גם פרצת אבטחה חמורה
אתה רוצה לעשות עריכת פרופיל.
בהתחברות תעשה נגיד סיישן של ID
ואז בדף עריכת תעשה משו כזה בסוף המשפט :
PHP קוד:
SELECT * FROM users WHERE id='$_SESSION[id]'
משהו בסיגנון.
רשמתי לך מהר אז לא היה לי זמן לעבור אני מאמין שזה יעבוד