Форумы портала PHP.SU :: Версия для печати

1. Сергей Палыч - 18 Августа, 2008 - 23:30:09 - перейти к сообщению

В общем пишу чат...
Хочу добавить возможность пользователям добавлять в акету аваторы т.е. чтоб они в настройках указывали url картинки. Но есть проблема - в анкету передается идентификатор сессии, таким образом любой из посетителей может указать путь к снифферу и завладеть чужой сессиеей Огорчение

Такой вопрос: можно ли выводить эти картинки в анкету через скрипт так чтоб идентификатор сессии не передавался картинке?
Если можно, то напишите пожалуйста как это реализовать Растерялся

Заранее благодарен Улыбка

2. Сергей Палыч - 19 Августа, 2008 - 16:18:08 - перейти к сообщению

может быть я непонятно объясняю? Растерялся

3. Джур - 20 Августа, 2008 - 12:35:35 - перейти к сообщению

это чтоже получается... ткнув в произвольную аватарку я узнаю "сессию" произвольного человека? это уже косяГ вашего чата... Ха-ха

4. Вездеход - 20 Августа, 2008 - 13:16:47 - перейти к сообщению

это не косяг. а косячищще.
как вопщем так смогли сделать?
попробуйте выводить аватары и прочее не по сессии 9нефиг к ней все прям привязывать) а например по нику пользователя.

5. Сергей Палыч - 20 Августа, 2008 - 23:07:29 - перейти к сообщению

Вы меня не поняли Огорчение

В акете пользователя аватор выводится самым обычным образом
<img src="URL который указан в профиле пользователя"/>

Вся проблема в том, что в навигации по форуму в анкеты(как и на все остальные странички) передается сессия.
Таким образом юзер Василий может указать в своем профиле путь к снифферу(а сниффер можно замаскировать под картинку) и юзер Нафанаил зайдя в анкету юзера Василия засветит снифферу свой идентификатор сессии.

Загружать аваторы пользователей к себе на сервер я не хочу, по-этому спрашиваю:
Можно ли отдавать картики через скрипт чтоб избежать вышеописаной опасности? Растерялся

Надеюсь меня поняли Улыбка

6. Вездеход - 21 Августа, 2008 - 09:08:03 - перейти к сообщению

гм. можно канешн. уберите из навигации все сессии. зачем вам их там палить?
пропишите в начале скриптов старт сессии чтоб все данных о пользователе из них всегда были доступны. и всегото.

зы. грузите аватары к себе. поставьте ограничение на 20-30кб. мелочь. даж при 1000 аватарках вы не так уж и много места потеряете. зато вашим же пользователям будет удобнее. я имею ввиду нормальных а не ищущих приключений на свою 5ю точку =)
юзерь может кинуть ссылку на свою аватарку которая может весить пару мегов и при просмотре такой аватарки некоторые ваши посетители могут сказать вам пару ласковых... =)

зы2. отдавать через скрипт можно. тока это придется лишний раз грузить сервер.

7. Сергей Палыч - 21 Августа, 2008 - 22:02:33 - перейти к сообщению

Вездеход, сесию не передавать в анкету я не могу - она там необходима Огорчение

Вариант с загрузкой картинок к себе мне тоже не подходит. Растерялся

Если не в тягость, напишите пожалуйста пример такого скрипта... Улыбка

Спасибо

8. Вездеход - 22 Августа, 2008 - 07:38:45 - перейти к сообщению

а можно узнать зачем вам так сильно надо передавать?

зы. писать не буду ибо времени нет.

вот как вариант:
http://forum.php.su/topic.php?fo...=35&topic=12

сделаете проверку перед тем как отдавать скрипту файл - картинка или нет.
потом уже режете ее - а то вдруг она большая.
ну и т.д. =)

зы. в примере скрипт сохранит картинку вам на хост.
для избежания этого тут - imagejpeg($idest, $dest, $quality);
замените на imagejpeg($idest);
и он вам будет выводить картинку при этом не сохраняя ее.