Модераторы: skyboy, MoLeX, Aliance, ksnk
  

Поиск:

Ответ в темуСоздание новой темы Создание опроса
> Подменить куку, проверить 
V
    Опции темы
adamant
Дата 5.1.2007, 08:09 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Шустрый
*


Профиль
Группа: Участник
Сообщений: 50
Регистрация: 1.3.2006
Где: Москва

Репутация: нет
Всего: нет
сообственно сабж, есть правда пожелания, что можно изменить, спасёт ли это?

Код

<META http-equiv="content-type" content="text/html; charset=windows-1251">
<?

    function check()
{
        if(isset($_COOKIE['auth']))
    {
        $query_check = mysql_query("select `*` from `members_auth` where login = '".mysql_real_escape_string($_COOKIE['login'])."' and hash = '".mysql_real_escape_string($_COOKIE['hash'])."'");
        $check = mysql_fetch_object( $query_check );
            if($check -> hash != $_COOKIE['hash'])
        {
            mysql_query("DELETE FROM members_auth WHERE login = '".$_COOKIE['login']."'");
            setcookie("auth", 0, time() - 86400);
            setcookie("login", 0, time() - 86400);
            setcookie("hash", 0, time() - 86400);
            header("locatin: index.php");
            print("Вы не авторизованны, пройдите авторизацию заного.");
        }
            else
        {
            setcookie("auth", $_COOKIE['auth'], time() + 900);
            setcookie("login", $_COOKIE['login'], time() + 900);
            setcookie("hash", $_COOKIE['hash'], time() + 900);
            print 'привет, '.$_COOKIE['login'].' ( выйти )';
        }
    }
}
?>


Заранее благодарен.

извиняюсь за название.  smile 

Это сообщение отредактировал(а) adamant - 5.1.2007, 12:14
PM MAIL ICQ   Вверх
PARROT
Дата 5.1.2007, 12:09 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Эксперт
****


Профиль
Группа: Экс. модератор
Сообщений: 2339
Регистрация: 5.1.2005
Где: Спб-ЦарьГрад

Репутация: 23
Всего: 50
Модератор: Название темы должно отражать ее суть!


--------------------
Безумный утешается прошедшим, слабоумный - будущим, умный - настоящим!
PM MAIL   Вверх
Wolf1994
Дата 5.1.2007, 12:41 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Эксперт
***


Профиль
Группа: Завсегдатай
Сообщений: 1701
Регистрация: 5.10.2004

Репутация: 7
Всего: 29
В чём заключается смысл скрипта и зачем удалять из базы юзера, если кто-то попытался авторизоваться под его логином?
PM MAIL WWW   Вверх
adamant
Дата 5.1.2007, 13:54 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Шустрый
*


Профиль
Группа: Участник
Сообщений: 50
Регистрация: 1.3.2006
Где: Москва

Репутация: нет
Всего: нет
смысл таков, взял я куку захотел подменить, (авторизовался по логином "Вася" и захотел украсть логин "Петя") то поидеи скрипт не даст этого сделать, за счёт сравнения $_COOKIE['hash'] и $check -> hash (значения из базы)

Так вот мне интересно этот скрипт годится или нет =) потому что в мануале от Mal`a там как то уж очень сильно md5 сделано, а в моём случае будет генерироваться просто случайное число...
PM MAIL ICQ   Вверх
Wolf1994
Дата 5.1.2007, 14:19 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Эксперт
***


Профиль
Группа: Завсегдатай
Сообщений: 1701
Регистрация: 5.10.2004

Репутация: 7
Всего: 29
Для этого достачно пароля, который может быть любым случайным числом или md5-кодом или чем угодно. Пароль не сообщается никому кроме его владельца.

PS. Если я правильно понял постановку вопроса...
PM MAIL WWW   Вверх
Mal Hack
Дата 5.1.2007, 15:47 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Мудрый...
****


Профиль
Группа: Участник Клуба
Сообщений: 9926
Регистрация: 15.2.2004

Репутация: 122
Всего: 261
Цитата(adamant @  5.1.2007,  13:54 Найти цитируемый пост)
потому что в мануале от Mal`a там как то уж очень сильно md5 сделано, а в моём случае будет генерироваться просто случайное число... 

Просто число в качестве хэша это в корне не верно, поскольку число подобрать можно. Плюс, тот хэш, который генерится у меня завязан на данных о пользователе, а число таковым не будет. В этом весь смысл..

А такой манипуляции с хэшированием связаны с проблемами md5. Сборный хэш всегда надежнее одинарного..

Что касается подмены, то ознакомься с этой статьей: http://phpclub.ru/detail/article/sessions
PM ICQ   Вверх
adamant
Дата 5.1.2007, 21:30 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Шустрый
*


Профиль
Группа: Участник
Сообщений: 50
Регистрация: 1.3.2006
Где: Москва

Репутация: нет
Всего: нет
хммм. задумался =) спасибочки
PM MAIL ICQ   Вверх
  
 Ответ в темуСоздание новой темы Создание опроса
Правила форума "PHP"
Aliance
IZ@TOP
skyboy
SamDark
MoLeX

Новичкам:

  • PHP редакторы собираются и обсуждаются здесь
  • Электронные книги по PHP, документацию можно найти здесь
  • Интерпретатор PHP, полную документацию можно скачать на PHP.NET

Важно:

  • Не брезгуйте пользоваться тегами [code=php]КОД[/code] для повышения читабельности текста/кода.
  • Перед созданием новой темы воспользуйтесь поиском и загляните в FAQ
  • Действия модераторов можно обсудить здесь

Внимание:

  • Темы "ищу скрипт", "подскажите скрипт" и т.п. будут переноситься в форум "Web-технологии"
  • Темы с именами: "Срочно", "помогите", "не знаю как делать" будут УДАЛЯТЬСЯ

Если Вам понравилась атмосфера форума, заходите к нам чаще! С уважением, IZ@TOP, skyboy, SamDark, MoLeX, awers.
 
1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)
0 Пользователей:
« Предыдущая тема | PHP: Общие вопросы | Следующая тема »

Подписаться на тему | Подписка на этот форум | Скачать/Распечатать тему


 




[ Время генерации скрипта: 0.0779 ]   [ Использовано запросов: 21 ]   [ GZIP включён ]


Реклама на сайте     Информационное спонсорство

 
 По вопросам размещения рекламы пишите на vladimir(sobaka)vingrad.ru
Отказ от ответственности     Powered by Invision Power Board(R) 1.3 © 2003  IPS, Inc.