 | | |
| Autor | Správa |
|---|
Registrovaný: 09.09.07
Prihlásený: 07.11.16
Príspevky: 3114
Témy: 233
Bydlisko: Nové Zámky |
Podla mna celkom rozumny sposob (neviem ci ho myslel tak aj miso250593)
Po prihlaseni uzivatela zapises do databaze nieco - nejaky hash alebo nahodne cislo, ktore bude platit pre toho usera pre to konkretne prihlasenie..
A potom v kazdom formulari ho pouzijes a overis, ci sedi..
Ale ak citam spravne, to myslel asi aj miso
_________________
"It took a lot of work, but this latest Linux patch enables support for machines with 4096 CPUs, up from the old limit of 1024." "Do you have support for smooth full-screen flash video yet?" "No, but who uses that?"
- ak dlho neodpisujem do témy, zabudol som na ňu, takže ma upozornite SS, ak chcete moju odpoveď |
|
Registrovaný: 20.03.08
Prihlásený: 08.03.17
Príspevky: 596
Témy: 149
Bydlisko: Houston, Texas |  Napísal Unlink: 07.01.2010 12:47 | |
|
ale potom by sa malo meniť nie, ked user odošle formular, ja som to myslel inak, pre každý formulár vygenerovať dve veci ID a čislo a uložiť do DB
a potom už len porovnavat či tieto zadané veci patria k sebe, a po odoslaní to samozrejme zmazať
|
|
Registrovaný: 09.09.07
Prihlásený: 07.11.16
Príspevky: 3114
Témy: 233
Bydlisko: Nové Zámky |
podla mna staci zmenit po prihlaseni. Naco viac krat? Aku by to malo vyhodu ?
_________________
"It took a lot of work, but this latest Linux patch enables support for machines with 4096 CPUs, up from the old limit of 1024." "Do you have support for smooth full-screen flash video yet?" "No, but who uses that?"
- ak dlho neodpisujem do témy, zabudol som na ňu, takže ma upozornite SS, ak chcete moju odpoveď |
|
Registrovaný: 20.03.08
Prihlásený: 08.03.17
Príspevky: 596
Témy: 149
Bydlisko: Houston, Texas | Napísal Unlink: 07.01.2010 15:13 | |
|
a utočnik si to zistiť nedokáže?
|
|
Registrovaný: 09.09.07
Prihlásený: 07.11.16
Príspevky: 3114
Témy: 233
Bydlisko: Nové Zámky |
A ako ?
Teraz si predstav, ze po prihlaseni na tuto stranku sa mi vygeneroval hash - pre mna jedinecny.. Odosielam tuto spravu a v tomto formulari je hidden input s tym hashom, ktorym sa to overuje..
Ty si utocnik - zisti ten hash ! 
Naco generovat stale novy, ked uplne staci iba po prihlaseni? Alebo napriklad 1 denne
_________________
"It took a lot of work, but this latest Linux patch enables support for machines with 4096 CPUs, up from the old limit of 1024." "Do you have support for smooth full-screen flash video yet?" "No, but who uses that?"
- ak dlho neodpisujem do témy, zabudol som na ňu, takže ma upozornite SS, ak chcete moju odpoveď |
|
Registrovaný: 29.10.07
Prihlásený: 27.10.23
Príspevky: 1395
Témy: 30
Bydlisko: Bratislava |
Identifikacia uzivatela z pohladu servera je postavena na session_id. To sa posiela s kazdym requestom a podla neho server vie s kym ma tu cest.
Kedze sa toto id da ukradnut, tak sa pouzivaju doplujuce metody (kontrola dvojice session_id + ip, pripadne aj dalsie veci ako napr browser). Pri odosielani formularov sa pouziva vygenerovane id, tzv token. Toje asi to o com hovorite vy. Ten ale nema velky vyznam ukladat do databazy, lebo ma platnost maximalne pre jedno prihlasenie (pripadne pre jeden request ako navrhuje miso). Staci houkladat do session na servery a netreba zatazovat databazu
_________________
PC: OS: Windows 11 (64bit) CPU: AMD Ryzen 5 3600 GPU: ASUS TUF RTX3060Ti 8GB RAM: 16GB DDR4-3200MHz Kingston Fury MB: ASUS TUF Gaming B550M WIFI SSD: 1000GB PCIe M.2 NVME
Mobil: Xiaomi POCO F2 PRO |
|
Registrovaný: 09.09.07
Prihlásený: 07.11.16
Príspevky: 3114
Témy: 233
Bydlisko: Nové Zámky |
Session na serveri? To je co?
Ja by som to ukladal normalne k uzivatelovi.. Aj tak zakazdym nacitavam z DB riadok s uzivatelom, kde ma vsetky udaje.. A jeden stlpec plus minus, to nie je zataz...
_________________
"It took a lot of work, but this latest Linux patch enables support for machines with 4096 CPUs, up from the old limit of 1024." "Do you have support for smooth full-screen flash video yet?" "No, but who uses that?"
- ak dlho neodpisujem do témy, zabudol som na ňu, takže ma upozornite SS, ak chcete moju odpoveď |
|
Registrovaný: 11.08.07
Príspevky: 4088
Témy: 34
Bydlisko: Brno | Napísal Ďuri: 07.01.2010 16:37 | |
|
miso250593
Dokaze, napriklad utokom XSS. Proti tomu sa ale zabezpecit snad dokazes.
GoodWillova poznamka je spravna, ukladat do session je praktickejsie.
|
|
Registrovaný: 21.02.07
Prihlásený: 21.02.10
Príspevky: 3984
Témy: 96 |
Blackshadow píše: Session na serveri? To je co?
Ty si hodil perlu Však session sa ti ukladá a vedie iba na serveri a tebe sa iba posiela identifikátor
|
|
Registrovaný: 09.09.07
Prihlásený: 07.11.16
Príspevky: 3114
Témy: 233
Bydlisko: Nové Zámky |
Tak potom som asi za debila, lebo viem co je session, ale co mi pomoze ked ten hash bude v session ??
Ja nosim teraz ten hash v session, idem na utocnikovu stranku ktora ma formular ktory sa posiela na stranku, ktoru chce napadnut.. formular sa odosle a ide na tu stranku.. Na tej stranke mam ale svoj hash v session a tym padom vsetko prebehne ako chcel utocnik..
Ale kebyze ten hash nie je v session, ale vo formulari a pre kazdeho uzivatela je jedinecny a meni sa, tak utocnik nedokaze vytvorit formular s tym hashom, pretoze ho nevie..
_________________
"It took a lot of work, but this latest Linux patch enables support for machines with 4096 CPUs, up from the old limit of 1024." "Do you have support for smooth full-screen flash video yet?" "No, but who uses that?"
- ak dlho neodpisujem do témy, zabudol som na ňu, takže ma upozornite SS, ak chcete moju odpoveď |
|
Registrovaný: 11.08.07
Príspevky: 4088
Témy: 34
Bydlisko: Brno | Napísal Ďuri: 07.01.2010 18:36 | |
|
Premenna zo session sa vypise do formulara. Aj ked o malo, je to menej narocne ako uchovavat data v tabulke a raz za cas este pouzit jednu update query navyse.
|
|
Registrovaný: 09.09.07
Prihlásený: 07.11.16
Príspevky: 3114
Témy: 233
Bydlisko: Nové Zámky |
Jaj tak.. Tak to sa da  Ale ci uz session alebo 1 select.. Ale je to optimalizovanejsie
_________________
"It took a lot of work, but this latest Linux patch enables support for machines with 4096 CPUs, up from the old limit of 1024." "Do you have support for smooth full-screen flash video yet?" "No, but who uses that?"
- ak dlho neodpisujem do témy, zabudol som na ňu, takže ma upozornite SS, ak chcete moju odpoveď |
|
Registrovaný: 07.03.06
Prihlásený: 23.01.11
Príspevky: 404
Témy: 2
Bydlisko: Prešov / Pr... | Napísal mylan: 07.01.2010 18:50 | |
|
Naviažem na pôvodný dotaz a odporučím naštudovať články venujúce sa tejto problematike:
|
|
Podobné témy | | Témy | Odpovede | Zobrazenia | Posledný príspevok |
|---|
 | Aka ochrana zariadenia (bleskoistka, prep. ochrana) v Siete | 2 | 479 | 06.10.2012 18:38 peto007  |  | $_POST v PHP, ASP | 11 | 1255 | 13.02.2008 12:57 stenley | | pomoc s $_POST v PHP, ASP | 17 | 795 | 10.03.2008 11:16 mondzo | | spam ochrana, sql ochrana v PHP, ASP | 14 | 850 | 08.01.2011 23:56 Feko | | guestbook - vyprazdnenie $_POST a ... v PHP, ASP | 2 | 1050 | 19.01.2009 20:58 Ded'leg | | Filtrovanie $_POST, viacrozmerne pole v PHP, ASP | 7 | 614 | 24.11.2008 8:14 stenley | | chyba vo formluari - nenačíta premennu z $_POST v PHP, ASP | 6 | 394 | 25.11.2012 16:00 dafo | | $_POST['pole']['item'] kombinácia viacerých typov inputov v PHP, ASP | 20 | 819 | 30.08.2011 19:46 camo | | Rezidentná ochrana vs. rezidentná ochrana v Antivíry a antispywary | 6 | 1146 | 23.04.2008 22:56 strongy | | Ochrana v Antivíry a antispywary | 2 | 777 | 20.12.2007 12:42 shiro | | ochrana [ Choď na stránku: 1, 2, 3 ] v Antivíry a antispywary | 73 | 3673 | 05.06.2008 15:51 Qpkqkma | | ochrana v Elektronika | 3 | 833 | 31.01.2008 16:53 bugi512 | | ochrana v Antivíry a antispywary | 8 | 1081 | 24.01.2008 14:20 mimkork | | Ochrana fora v Redakčné systémy | 4 | 696 | 16.11.2006 23:26 JanoF | | ochrana sessions v PHP, ASP | 22 | 996 | 23.02.2011 18:31 chrono | | Prepetová ochrana. v Externé zariadenia | 18 | 650 | 18.10.2017 11:49 tatko Tom |
| Nemôžete zakladať nové témy v tomto fóre
Nemôžete odpovedať na témy v tomto fóre
Nemôžete upravovať svoje príspevky v tomto fóre
Nemôžete mazať svoje príspevky v tomto fóre
|
|
