не работает система авторизации на php mysql и cookie - Страница 2

Americanets · 12.12.2006, 18:39

стало понятней , спасибо , буду пробовать сделать , хотя еще совет был не использовать куки а пользовать сессии

rtm · 12.12.2006, 18:50

Ну по своей сути сесси это те же самые куки =)
В любом случае рекомендую почитать: http://phpclub.ru/detail/article/sessions.

Americanets · 12.12.2006, 18:53

спасибо

Skubent · 12.12.2006, 19:52

rtm, не путай идентификатор данных и сами данные.

Допустим я посмотрю на прилетевший из вышеуказанного кода в кукисы идентификатор, добавлю к нему единицу и отправлю назад. Мне покажут инфо _другого_ человека.

rtm · 12.12.2006, 23:59

А говоря что сессии - теже самые куки, я имел в виду то, что для работы сессий необходимо чтоб клиент передавал идентификатор сессия при каждом запросе к сайту. Что достигается 2 путями:

передача идентификатора метом GET
передача идентификатора сесси через куки

Отличае сессий (на куках) от кук только в том, что именно передается и все.

А что меняется если я подберу идентификатор сесси, которая в данный момент активна? Года 2-3 назад я практиковал такой метод для получения админских прав на форумах, даже сейчас этот вариант много где прокатит (помеха может быть тут только одна - ip пользователя, больше ничего не спасёт, хотя и это в некоторых случах обходится).

Americanets · 13.12.2006, 10:07

палка о двух концах

хотя сделал с сессиями, работает, а вот с куки что то не хочет, сейчас смотрю как можно защитить сеансы и от иньекций защиту, что получится выложу, может подскажете гду не так

Skubent · 13.12.2006, 12:52

rtm, подобрать идентификатор активной сессии ? Гхм. Напоминает игру "угадай число от 1 до бесконечности". Украсть его еще понимаю, можно, а вот подобрать...

rtm · 13.12.2006, 13:17

Skubent, Вы меня прекрасно поняли. Зачем Вы пытаетесь укорить меня в неточностях?

Americanets · 13.12.2006, 13:36

можно или нельзя, ничего надежного нет, шатлы тоже падают