Написал класс для авторизации/аунтификации пользователя и определения его.
Как я понял он уязвим и авторизоватся может гость по кукам
класс - https://github[dot]com/foozzi/typica[dot][dot][dot]ass/lib[dot]User.php
1. foozzi - 15 Мая, 2013 - 20:54:46 - перейти к сообщению
2. caballero - 15 Мая, 2013 - 21:03:27 - перейти к сообщению
а как уязвимость связана с тем класс это и не класс?
и чем смысл класса авторизации? Что он инкапсулирует этот класс?
или просто хочется выглядеть крутым - я тоже умею класс написать
и чем смысл класса авторизации? Что он инкапсулирует этот класс?
или просто хочется выглядеть крутым - я тоже умею класс написать
3. foozzi - 15 Мая, 2013 - 21:23:52 - перейти к сообщению
caballero пишет:
а как уязвимость связана с тем класс это и не класс?
и чем смысл класса авторизации? Что он инкапсулирует этот класс?
или просто хочется выглядеть крутым - я тоже умею класс написать
и чем смысл класса авторизации? Что он инкапсулирует этот класс?
или просто хочется выглядеть крутым - я тоже умею класс написать
В данный момент я не прошу поливать меня дерьмом, я прошу подсказать в чем ошибка
4. LifePlay - 16 Мая, 2013 - 08:43:30 - перейти к сообщению
Я бы не рекомендовал делать так:
Так как $_COOKIE можно подделать и в итоге получить доступ по краденым кукамPHP:
скопировать код в буфер обмена
скопировать код в буфер обмена
- $Check_cookie = db::normalizeQuery("SELECT * FROM users WHERE hash_user = '%s' AND ip_user = '%s'", $_COOKIE['hash'], $_COOKIE['ip']);
Должна хотя бы быть функция проверки соответствия Хеша, браузеру которому этот Хеш установлен. Но информация о браузере должна хранится на сервере. Например
PHP:
скопировать код в буфер обмена
скопировать код в буфер обмена
- $Check_cookie = db::normalizeQuery("SELECT * FROM users WHERE hash_user = '%s' AND ip_user = '%s'", $_COOKIE['hash'], $_COOKIE['ip']);
- if($Check_cookie && $Check_cookie['user_agent'] == $_SERVER['HTTP_USER_AGENT'])
- {
- //...