someone Posted December 28, 2007 Report Posted December 28, 2007 (edited) Līdz šim neesmu neko darijies ar cookes, tapēc pieredze nav. Bet tagad baigi savajadzējās un nu es steidzos, ko apgūt :P Ar tutoriāļiem tā pašvaki. Nu kautko jau sataisīju. login.php takelogin.php Tas protams ir tikai uzmetums, tādas lietas kā datu filtrācija utt., to pielikšu klāt vēlāk. Tagad palīdzat man cookies drošību. Pašlaik man ir tā, ka tajos cookies var būt jebkas, galvenais, ka nav tukši. :D Man vajag tā, lai nevarētu ierakstīt piem. lietotājvārdu un tādā veidā iejiet viņa profilā. Un vispār - drošivien man tur ir kāda stila kļūda, drošivien tur varēja jēdzīgāk to visu uzrakstīt. Nūū īsti nav pieredze, nezinu kā pareizāk, tapēc palīdziet, lūdzu. Edited December 28, 2007 by someone
Aleksejs Posted December 28, 2007 Report Posted December 28, 2007 Šajā tēmā: http://php.lv/f/index.php?showtopic=2935 izlasi sadaļu: logini/autorizācijas sesijas
blackhalt Posted December 28, 2007 Report Posted December 28, 2007 paroles neglabā kukijos. http://lv.php.net/manual/en/function.setcookie.php http://lv.php.net/manual/en/ref.session.php http://lv.php.net/manual/en/security.php http://lv.php.net/manual/en/security.datab...l-injection.php http://en.wikipedia.org/wiki/Cross-site_scripting http://phpsec.org/projects/guide/
someone Posted December 28, 2007 Author Report Posted December 28, 2007 (edited) Tur puse bija vienkārši spams. Tur bija kāds gudri parādījis, ka loginu taisa tā: if($parole == "parole" || logins == "logins") { echo "tu esi ielogojies"; }else{ echo "nepareizsi"; } :D + šito kodu jau izķidāju skatoties no viena tā topika. Tagad prasu, ko darīt tālāk, vai man pašlaik daudzmaz vispār tas kods ir sakarīgs, kā lai taisu aizsardzību. Blackhalt, nu paroles nē, bet to hašus taču glabā. Lielai daļai portālu un trackeru etc. taču arī paroles hešs glabājas kūkijos. Edited December 28, 2007 by someone
Aleksejs Posted December 28, 2007 Report Posted December 28, 2007 Nē, neglabājas paroles! Ja glabājas, tad tā ir slikta sistēma! Kukijā, sesiju uzsākot, tiek ierakstīts sesijas id (PHPSID laikam by default saucās). Pēc kura tad arī tiek atpazīts konkrētais lietotājs sesijas ietvaros.
blackhalt Posted December 28, 2007 Report Posted December 28, 2007 un datubāzē arī neglaba paroles plikā veidā.
Aleksejs Posted December 28, 2007 Report Posted December 28, 2007 Komentāri par: http://paste.php.lv/6657 3. rindiņā pārbauda vai ir iekš cookie norādīti mainīgie username un password: Tāda pārbaude neder, jo laiž garām arī tad, ja jebkas ir uzstādīts Komentāri par: http://paste.php.lv/6658 12. rindiņā ir iespējama SQL injekcija. 16. rindiņā, tas pats, kas iepriekšējam skriptam par 3. rindiņu
daviskrex Posted December 28, 2007 Report Posted December 28, 2007 (edited) Tur puse bija vienkārši spams. Tur bija kāds gudri parādījis, ka loginu taisa tā: if($parole == "parole" || logins == "logins") { echo "tu esi ielogojies"; }else{ echo "nepareizsi"; } :D + šito kodu jau izķidāju skatoties no viena tā topika. Tagad prasu, ko darīt tālāk, vai man pašlaik daudzmaz vispār tas kods ir sakarīgs, kā lai taisu aizsardzību. Blackhalt, nu paroles nē, bet to hašus taču glabā. Lielai daļai portālu un trackeru etc. taču arī paroles hešs glabājas kūkijos. nevajadzētu būt šitā? if($parole == "parole" [b]&&[/b] logins == "logins") { echo "tu esi ielogojies"; }else{ echo "nepareizsi"; Edited December 28, 2007 by daviskrex
mounkuls Posted December 29, 2007 Report Posted December 29, 2007 (edited) nevajadzētu būt šitā? if($parole == "parole" [b]&&[/b] logins == "logins") { echo "tu esi ielogojies"; }else{ echo "nepareizsi"; Aha:D savaadaak ir tas pats, kas if($parole = "parole" && logins = "logins")' Nu ne gluzhi protams, bet starpiba tikai taada, ka jaazin vismaz logins Edited December 29, 2007 by mounkuls
Recommended Posts