G-Style Posted April 18, 2005 Report Share Posted April 18, 2005 Sveiki, visi php koderi! Man radusies viena probleema! Man ir gatavs php login skripts, bet kaa lai vinu smuki dabuun ieks index.php? Pareizas login un paroles gadiijumaa atveras, piemeeram user.php, tacu gribeetos lai taadaa gadiijumaa index.php izlektu kaut kaada tabulinja ar kaadu infu! Kaa dabuut to gatavu? Kaa dabuut so tabulu tiesi tur, kur veeelos? Plz help kaa :unsure: ds! Link to comment Share on other sites More sharing options...
arnico Posted April 18, 2005 Report Share Posted April 18, 2005 es domaaju vareetu paliidzeet shii scripta iedoshana apskatei :) Link to comment Share on other sites More sharing options...
ohmygod Posted April 18, 2005 Report Share Posted April 18, 2005 Ja sapratu tevi pareizi, tad tev ir iekš index.php jāieliek require('login.php'); Bet login.php skripta beigās, ja tas neizpildās ielikt die(); Lai pie index.php satura netiek neutorizēt lietotājs. Link to comment Share on other sites More sharing options...
G-Style Posted April 19, 2005 Author Report Share Posted April 19, 2005 Ja sapratu tevi pareizi, tad tev ir iekš index.php jāieliek require('login.php');Bet login.php skripta beigās, ja tas neizpildās ielikt die(); Lai pie index.php satura netiek neutorizēt lietotājs. 16620[/snapback] Arii bez pareiza username un passworda useri var apskatiit index.php, tacu ja izpildaas index.php forma, respektiivi ir pareizs username un passwords, tad index.php kaut kur izlec tabulinja vai fails piem-mansprofils.php, kas paliek visu laiku, kameer useris staigaa pa lapaam un linkiem! :unsure: Link to comment Share on other sites More sharing options...
rudzis Posted April 19, 2005 Report Share Posted April 19, 2005 Ja veel kaut kam jaasaglabaajas ilgaaku laiku, tad derees cepumi vai sesijas. ar cepumiem buus vienkaarshaak. Link to comment Share on other sites More sharing options...
ohmygod Posted April 19, 2005 Report Share Posted April 19, 2005 Ja veel kaut kam jaasaglabaajas ilgaaku laiku, tad derees cepumi vai sesijas. ar cepumiem buus vienkaarshaak. 16672[/snapback] Kāpēc vienkāršāk?? Ar sesijām būs tik pat vienkārši... + drošāk! Iepriekšējā sevis postā aizmirsu piebilst, ka index.php saakumdaļā aiz require vajag iemest if(empty($_SESSION[daKautKas])){die();} Kuru būtu vēlams nodefinēt iekš to login.php, ja ielogošanās tiek akceptēta... :D Link to comment Share on other sites More sharing options...
bubu Posted April 19, 2005 Report Share Posted April 19, 2005 Kādā sakarā drošāk? Sesijas kā vienu sevis saglabāšanās veidu tieši izmanto kukijus, kuru arī visbiežāk izmanto. Tad kāpēc gan lai tās būtu drošākas? Tieši otrādi - nelietojot sesijas var uzkudēt savu veidu kā atcerēties apmeklētāju, tas var būt daudz drošāk, jo ļaundaris var nezināt tavu datu saglabāšanas veidu, atšķirībā no sesijām, kuras visi zin kā darbojās. Link to comment Share on other sites More sharing options...
ohmygod Posted April 20, 2005 Report Share Posted April 20, 2005 Hmz, līdz šim biju pārliecināts, ka sessijas ir server side.... :/ Kukiji to4 ka ir client side. Un nekam, kas naak no usera - nevar uzticēties... [varbūt esmu paranoikjis...?] Link to comment Share on other sites More sharing options...
v3rb0 Posted April 20, 2005 Report Share Posted April 20, 2005 Hmz, līdz šim biju pārliecināts, ka sessijas ir server side.... :/ Kukiji to4 ka ir client side. Un nekam, kas naak no usera - nevar uzticēties... [varbūt esmu paranoikjis...?] 16678[/snapback] pēc noklusējuma php sessija cepumā liek tikai sessijas id, dati uz servera glabājas failos, ja vien neesi uztaisījis lai glabā ieks db vai kaut kā citādi. referencei php.ini session sekcija. Link to comment Share on other sites More sharing options...
bubu Posted April 20, 2005 Report Share Posted April 20, 2005 Iz http://lv.php.net/manual/en/ref.session.php A visitor accessing your web site is assigned an unique id, the so-called session id. This is either stored in a cookie on the user side or is propagated in the URL. Ja netici, tad uzliec testa skriptu, kurš uztaisa jaunu sesiju, un paskaties, kas ir kukijos (nu, protams, otrs varants ir, ka sesijas id ierakstīsies URLī, bet tas jau arī client side). Link to comment Share on other sites More sharing options...
ohmygod Posted April 20, 2005 Report Share Posted April 20, 2005 Es jau nesaku, ka neticu. Biju tik nedaudz citādās domās par sesijām... :/ Biku aplauzos, iepriekš sesiju datus nepārbaudīju - būs laikam jāsāk to darīt... Link to comment Share on other sites More sharing options...
bubu Posted April 20, 2005 Report Share Posted April 20, 2005 Nē atkal nepareizi. Sesiju datus tu vari nepārbaudīt. Tie jau uz servera vien glabājās. Tev ir jāpārbauda tas, ka nav notikusi, piemēram, sesijas identifikatora nosperšana. Piemēram - pēkšņi no divām dažādām IP adresēm pienāk viens un tas pats sesijas id (droši vien stulbs piemērs). Vairāk lasi kautkur šeit: http://shiflett.org/articles/security-corner-feb2004 http://phpsec.org/projects/guide/4.html Link to comment Share on other sites More sharing options...
ohmygod Posted April 20, 2005 Report Share Posted April 20, 2005 Nē atkal nepareizi. Sesiju datus tu vari nepārbaudīt. Tie jau uz servera vien glabājās. Tev ir jāpārbauda tas, ka nav notikusi, piemēram, sesijas identifikatora nosperšana. Piemēram - pēkšņi no divām dažādām IP adresēm pienāk viens un tas pats sesijas id (droši vien stulbs piemērs). Vairāk lasi kautkur šeit: http://shiflett.org/articles/security-corner-feb2004 http://phpsec.org/projects/guide/4.html 16686[/snapback] Diemžēl mana angļu valoda nav labākajā līmenī :/ Visu saprotu tikai ļoooooti aptuveni. Kā varētu izpausties sesijas indentifikatora zagshana? Tad jau viņš ir reāli jāzin. Ja man piemēram sesijas mūžs ir 10 min, tad šinī laikā kādam tas ir jāuzzin un tad viņs teiksim var to nodublēt. Izvairīties kā? sesijas masīvā iemest pelementu, kas satur IP?, kas visu laiku tiek pārbaudīts? Link to comment Share on other sites More sharing options...
bubu Posted April 20, 2005 Report Share Posted April 20, 2005 Jā viens no variantiem ir piesaistīt kautkādiem klienta datiem to sesijas identifikatoru. Skat. http://laacz.lv/blog/2005/02/16/php_session_fixation Link to comment Share on other sites More sharing options...
G-Style Posted April 21, 2005 Author Report Share Posted April 21, 2005 Moz kaads vareetu iedot kaadu paraugu vai linky php login skriptam ko vareetu viegli inkluudot jau gatavaa index.php! :) Paldies! :) Link to comment Share on other sites More sharing options...
Recommended Posts