Cookies - kā pareizāk veidot sistēmu

[someone]

Līdz šim neesmu neko darijies ar cookes, tapēc pieredze nav. Bet tagad baigi savajadzējās un nu es steidzos, ko apgūt :P

Ar tutoriāļiem tā pašvaki. Nu kautko jau sataisīju.

 

login.php

takelogin.php

 

 

Tas protams ir tikai uzmetums, tādas lietas kā datu filtrācija utt., to pielikšu klāt vēlāk. Tagad palīdzat man cookies drošību. Pašlaik man ir tā, ka tajos cookies var būt jebkas, galvenais, ka nav tukši. :D

Man vajag tā, lai nevarētu ierakstīt piem. lietotājvārdu un tādā veidā iejiet viņa profilā. Un vispār - drošivien man tur ir kāda stila kļūda, drošivien tur varēja jēdzīgāk to visu uzrakstīt. Nūū īsti nav pieredze, nezinu kā pareizāk, tapēc palīdziet, lūdzu.

Edited December 28, 2007 by someone

[Aleksejs]

Šajā tēmā:

http://php.lv/f/index.php?showtopic=2935

izlasi sadaļu: logini/autorizācijas sesijas

[blackhalt]

paroles neglabā kukijos.

 

http://lv.php.net/manual/en/function.setcookie.php

http://lv.php.net/manual/en/ref.session.php

http://lv.php.net/manual/en/security.php

http://lv.php.net/manual/en/security.datab...l-injection.php

http://en.wikipedia.org/wiki/Cross-site_scripting

http://phpsec.org/projects/guide/

[someone]

Tur puse bija vienkārši spams. Tur bija kāds gudri parādījis, ka loginu taisa tā:

 

if($parole == "parole" || logins == "logins")

{

echo "tu esi ielogojies";

}else{

echo "nepareizsi";

}

 

:D

 

 

+ šito kodu jau izķidāju skatoties no viena tā topika. Tagad prasu, ko darīt tālāk, vai man pašlaik daudzmaz vispār tas kods ir sakarīgs, kā lai taisu aizsardzību.

 

 

Blackhalt, nu paroles nē, bet to hašus taču glabā. Lielai daļai portālu un trackeru etc. taču arī paroles hešs glabājas kūkijos.

Edited December 28, 2007 by someone

[Aleksejs]

Nē, neglabājas paroles!

Ja glabājas, tad tā ir slikta sistēma!

Kukijā, sesiju uzsākot, tiek ierakstīts sesijas id (PHPSID laikam by default saucās).

Pēc kura tad arī tiek atpazīts konkrētais lietotājs sesijas ietvaros.

[blackhalt]

un datubāzē arī neglaba paroles plikā veidā.

[Aleksejs]

Komentāri par:

http://paste.php.lv/6657

3. rindiņā pārbauda vai ir iekš cookie norādīti mainīgie username un password: Tāda pārbaude neder, jo laiž garām arī tad, ja jebkas ir uzstādīts

 

Komentāri par:

http://paste.php.lv/6658

12. rindiņā ir iespējama SQL injekcija.

16. rindiņā, tas pats, kas iepriekšējam skriptam par 3. rindiņu

[daviskrex]

Tur puse bija vienkārši spams. Tur bija kāds gudri parādījis, ka loginu taisa tā:

 

if($parole == "parole" || logins == "logins")

{

echo "tu esi ielogojies";

}else{

echo "nepareizsi";

}

 

:D

 

 

+ šito kodu jau izķidāju skatoties no viena tā topika. Tagad prasu, ko darīt tālāk, vai man pašlaik daudzmaz vispār tas kods ir sakarīgs, kā lai taisu aizsardzību.

 

 

Blackhalt, nu paroles nē, bet to hašus taču glabā. Lielai daļai portālu un trackeru etc. taču arī paroles hešs glabājas kūkijos.

 

nevajadzētu būt šitā?

 

if($parole == "parole" [b]&&[/b] logins == "logins")
{
echo "tu esi ielogojies";
}else{
echo "nepareizsi";

Edited December 28, 2007 by daviskrex

[mounkuls]

nevajadzētu būt šitā?

 

if($parole == "parole" [b]&&[/b] logins == "logins")
{
echo "tu esi ielogojies";
}else{
echo "nepareizsi";

Aha:D savaadaak ir tas pats, kas if($parole = "parole" && logins = "logins")'

Nu ne gluzhi protams, bet starpiba tikai taada, ka jaazin vismaz logins

Edited December 29, 2007 by mounkuls