[ Príspevkov: 43 ] 1, 2
AutorSpráva
Offline

Užívateľ
Užívateľ
ochrana $_POST

Registrovaný: 09.09.07
Prihlásený: 07.11.16
Príspevky: 3128
Témy: 233 | 233
Bydlisko: Nové Zámky
NapísalOffline : 07.01.2010 12:34 | ochrana $_POST

Podla mna celkom rozumny sposob (neviem ci ho myslel tak aj miso250593)

Po prihlaseni uzivatela zapises do databaze nieco - nejaky hash alebo nahodne cislo, ktore bude platit pre toho usera pre to konkretne prihlasenie..

A potom v kazdom formulari ho pouzijes a overis, ci sedi..

Ale ak citam spravne, to myslel asi aj miso


_________________
"It took a lot of work, but this latest Linux patch enables support for machines with 4096 CPUs, up from the old limit of 1024." "Do you have support for smooth full-screen flash video yet?" "No, but who uses that?"
- ak dlho neodpisujem do témy, zabudol som na ňu, takže ma upozornite SS, ak chcete moju odpoveď
Offline

Užívateľ
Užívateľ
ochrana $_POST

Registrovaný: 20.03.08
Prihlásený: 08.03.17
Príspevky: 596
Témy: 149 | 149
Bydlisko: Houston, Texas
Vek: 24
NapísalOffline : 07.01.2010 12:47 | ochrana $_POST

ale potom by sa malo meniť nie, ked user odošle formular, ja som to myslel inak, pre každý formulár vygenerovať dve veci ID a čislo a uložiť do DB
a potom už len porovnavat či tieto zadané veci patria k sebe, a po odoslaní to samozrejme zmazať


Offline

Užívateľ
Užívateľ
ochrana $_POST

Registrovaný: 09.09.07
Prihlásený: 07.11.16
Príspevky: 3128
Témy: 233 | 233
Bydlisko: Nové Zámky
NapísalOffline : 07.01.2010 14:01 | ochrana $_POST

podla mna staci zmenit po prihlaseni. Naco viac krat? Aku by to malo vyhodu ?


_________________
"It took a lot of work, but this latest Linux patch enables support for machines with 4096 CPUs, up from the old limit of 1024." "Do you have support for smooth full-screen flash video yet?" "No, but who uses that?"
- ak dlho neodpisujem do témy, zabudol som na ňu, takže ma upozornite SS, ak chcete moju odpoveď
Offline

Užívateľ
Užívateľ
ochrana $_POST

Registrovaný: 20.03.08
Prihlásený: 08.03.17
Príspevky: 596
Témy: 149 | 149
Bydlisko: Houston, Texas
Vek: 24
NapísalOffline : 07.01.2010 15:13 | ochrana $_POST

a utočnik si to zistiť nedokáže?


Offline

Užívateľ
Užívateľ
ochrana $_POST

Registrovaný: 09.09.07
Prihlásený: 07.11.16
Príspevky: 3128
Témy: 233 | 233
Bydlisko: Nové Zámky
NapísalOffline : 07.01.2010 15:29 | ochrana $_POST

A ako ?
Teraz si predstav, ze po prihlaseni na tuto stranku sa mi vygeneroval hash - pre mna jedinecny.. Odosielam tuto spravu a v tomto formulari je hidden input s tym hashom, ktorym sa to overuje..

Ty si utocnik - zisti ten hash ! :D

Naco generovat stale novy, ked uplne staci iba po prihlaseni? Alebo napriklad 1 denne


_________________
"It took a lot of work, but this latest Linux patch enables support for machines with 4096 CPUs, up from the old limit of 1024." "Do you have support for smooth full-screen flash video yet?" "No, but who uses that?"
- ak dlho neodpisujem do témy, zabudol som na ňu, takže ma upozornite SS, ak chcete moju odpoveď
Offline

Skúsený užívateľ
Skúsený užívateľ
ochrana $_POST

Registrovaný: 29.10.07
Prihlásený: 12.06.17
Príspevky: 1408
Témy: 28 | 28
Bydlisko: Bratislava
Vek: 36
NapísalOffline : 07.01.2010 15:32 | ochrana $_POST

Identifikacia uzivatela z pohladu servera je postavena na session_id. To sa posiela s kazdym requestom a podla neho server vie s kym ma tu cest.

Kedze sa toto id da ukradnut, tak sa pouzivaju doplujuce metody (kontrola dvojice session_id + ip, pripadne aj dalsie veci ako napr browser). Pri odosielani formularov sa pouziva vygenerovane id, tzv token. Toje asi to o com hovorite vy. Ten ale nema velky vyznam ukladat do databazy, lebo ma platnost maximalne pre jedno prihlasenie (pripadne pre jeden request ako navrhuje miso). Staci houkladat do session na servery a netreba zatazovat databazu


_________________
PC: OS: Windows 10 (64bit) CPU: INTEL Core i5-4440 GPU: ASUS ATI R9280X RAM: Kingston 8GB DDR3 1600MHz MB: MSI B85-G43 Gaming HDD: Seagate 1TB HDD Barracuda SSD: SAMSUNG 120GB HDD 840 EVO CASE: COOLERMASTER N400
Mobil: OS: Android 4.4.2 Model: LG G2 D802 16GB
Offline

Užívateľ
Užívateľ
ochrana $_POST

Registrovaný: 09.09.07
Prihlásený: 07.11.16
Príspevky: 3128
Témy: 233 | 233
Bydlisko: Nové Zámky
NapísalOffline : 07.01.2010 15:42 | ochrana $_POST

Session na serveri? To je co?

Ja by som to ukladal normalne k uzivatelovi.. Aj tak zakazdym nacitavam z DB riadok s uzivatelom, kde ma vsetky udaje.. A jeden stlpec plus minus, to nie je zataz...


_________________
"It took a lot of work, but this latest Linux patch enables support for machines with 4096 CPUs, up from the old limit of 1024." "Do you have support for smooth full-screen flash video yet?" "No, but who uses that?"
- ak dlho neodpisujem do témy, zabudol som na ňu, takže ma upozornite SS, ak chcete moju odpoveď
Offline

Čestný člen
Čestný člen
ochrana $_POST

Registrovaný: 11.08.07
Príspevky: 4110
Témy: 30 | 30
Bydlisko: Brno
NapísalOffline : 07.01.2010 16:37 | ochrana $_POST

miso250593
Dokaze, napriklad utokom XSS. Proti tomu sa ale zabezpecit snad dokazes.

GoodWillova poznamka je spravna, ukladat do session je praktickejsie.


Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 21.02.07
Prihlásený: 21.02.10
Príspevky: 3991
Témy: 96 | 96
NapísalOffline : 07.01.2010 17:38 | ochrana $_POST

Blackshadow píše:
Session na serveri? To je co?

Ty si hodil perlu :D Však session sa ti ukladá a vedie iba na serveri a tebe sa iba posiela identifikátor :D


Offline

Užívateľ
Užívateľ
ochrana $_POST

Registrovaný: 09.09.07
Prihlásený: 07.11.16
Príspevky: 3128
Témy: 233 | 233
Bydlisko: Nové Zámky
NapísalOffline : 07.01.2010 18:10 | ochrana $_POST

Tak potom som asi za debila, lebo viem co je session, ale co mi pomoze ked ten hash bude v session ??

Ja nosim teraz ten hash v session, idem na utocnikovu stranku ktora ma formular ktory sa posiela na stranku, ktoru chce napadnut.. formular sa odosle a ide na tu stranku.. Na tej stranke mam ale svoj hash v session a tym padom vsetko prebehne ako chcel utocnik..

Ale kebyze ten hash nie je v session, ale vo formulari a pre kazdeho uzivatela je jedinecny a meni sa, tak utocnik nedokaze vytvorit formular s tym hashom, pretoze ho nevie..


_________________
"It took a lot of work, but this latest Linux patch enables support for machines with 4096 CPUs, up from the old limit of 1024." "Do you have support for smooth full-screen flash video yet?" "No, but who uses that?"
- ak dlho neodpisujem do témy, zabudol som na ňu, takže ma upozornite SS, ak chcete moju odpoveď
Offline

Čestný člen
Čestný člen
ochrana $_POST

Registrovaný: 11.08.07
Príspevky: 4110
Témy: 30 | 30
Bydlisko: Brno
NapísalOffline : 07.01.2010 18:36 | ochrana $_POST

Premenna zo session sa vypise do formulara. Aj ked o malo, je to menej narocne ako uchovavat data v tabulke a raz za cas este pouzit jednu update query navyse.


Offline

Užívateľ
Užívateľ
ochrana $_POST

Registrovaný: 09.09.07
Prihlásený: 07.11.16
Príspevky: 3128
Témy: 233 | 233
Bydlisko: Nové Zámky
NapísalOffline : 07.01.2010 18:44 | ochrana $_POST

Jaj tak.. Tak to sa da :) Ale ci uz session alebo 1 select.. Ale je to optimalizovanejsie :)


_________________
"It took a lot of work, but this latest Linux patch enables support for machines with 4096 CPUs, up from the old limit of 1024." "Do you have support for smooth full-screen flash video yet?" "No, but who uses that?"
- ak dlho neodpisujem do témy, zabudol som na ňu, takže ma upozornite SS, ak chcete moju odpoveď
Offline

Skúsený užívateľ
Skúsený užívateľ
ochrana $_POST

Registrovaný: 07.03.06
Prihlásený: 23.01.11
Príspevky: 408
Témy: 2 | 2
Bydlisko: Prešov / Pr...
NapísalOffline : 07.01.2010 18:50 | ochrana $_POST

Naviažem na pôvodný dotaz a odporučím naštudovať články venujúce sa tejto problematike:


 [ Príspevkov: 43 ] 1, 2


ochrana $_POST



Podobné témy

 Témy  Odpovede  Zobrazenia  Posledný príspevok 
V tomto fóre nie sú ďalšie neprečítané témy.

Aka ochrana zariadenia (bleskoistka, prep. ochrana)

v Siete

2

227

06.10.2012 18:38

peto007

V tomto fóre nie sú ďalšie neprečítané témy.

$_POST

v PHP, ASP

11

825

13.02.2008 12:57

stenley

V tomto fóre nie sú ďalšie neprečítané témy.

Bezpecnost $_POST

v PHP, ASP

26

666

15.01.2015 23:57

chrono

V tomto fóre nie sú ďalšie neprečítané témy.

spam ochrana, sql ochrana

v PHP, ASP

14

546

08.01.2011 23:56

Feko

V tomto fóre nie sú ďalšie neprečítané témy.

pomoc s $_POST

v PHP, ASP

17

619

10.03.2008 11:16

mondzo

V tomto fóre nie sú ďalšie neprečítané témy.

guestbook - vyprazdnenie $_POST a ...

v PHP, ASP

2

688

19.01.2009 20:58

Ded'leg

V tomto fóre nie sú ďalšie neprečítané témy.

Filtrovanie $_POST, viacrozmerne pole

v PHP, ASP

7

382

24.11.2008 8:14

stenley

V tomto fóre nie sú ďalšie neprečítané témy.

chyba vo formluari - nenačíta premennu z $_POST

v PHP, ASP

6

208

25.11.2012 16:00

dafo

V tomto fóre nie sú ďalšie neprečítané témy.

$_POST['pole']['item'] kombinácia viacerých typov inputov

v PHP, ASP

20

614

30.08.2011 19:46

camo

V tomto fóre nie sú ďalšie neprečítané témy.

Rezidentná ochrana vs. rezidentná ochrana

v Antivíry a antispywary

6

886

23.04.2008 22:56

strongy

V tomto fóre nie sú ďalšie neprečítané témy.

Ochrana

v Antivíry a antispywary

2

561

20.12.2007 12:42

shiro

V tomto fóre nie sú ďalšie neprečítané témy.

ochrana

[ Choď na stránku:Choď na stránku: 1, 2, 3 ]

v Antivíry a antispywary

73

2826

05.06.2008 15:51

Qpkqkma

V tomto fóre nie sú ďalšie neprečítané témy.

ochrana

v Elektronika

3

614

31.01.2008 16:53

bugi512

V tomto fóre nie sú ďalšie neprečítané témy.

ochrana

v Antivíry a antispywary

8

755

24.01.2008 14:20

mimkork

V tomto fóre nie sú ďalšie neprečítané témy.

Prepäťova ochrana

v PC skrinky, zdroje a všetky druhy chladenia

13

758

26.11.2007 10:50

Aqw3R

Táto téma je zamknutá, nemôžete posielať nové príspevky alebo odpovedať na staršie.

Ochrana PC

v Antivíry a antispywary

1

216

26.12.2011 10:08

jtbs



© 2005 - 2017 PCforum, edited by JanoF