אוקי אז עישתי סקריפט כזה שלוקח ID מסויים מהעוגייה דרכו הוא מוצא את השם המשתמש ואת הדרגה שלו .
עכשיו רציתי לשאול עם מי שהו נכנס לעוגייה וישנה שם את המספר של ה ID מה יקרה?

קוד PHP:

<?php 
include("db.php");
$userid = $_COOKIE['member_id']; 
$username = mysql_query("SELECT name FROM ibf_members WHERE $userid=id ");
while ( $a_row = mysql_fetch_row($username)) {
foreach ($a_row as $field)
echo "$field"; }
?>

זה הסקריפט
הנה העוגייה :

קוד PHP:

 member_id
10
gamerin.net/
1536
1629528832
29867433
334454928
29794007
*
pass_hash
fc59cb62a11b843c24b5257af915bcd9
gamerin.net/
1536
1629528832
29867433
334454928
29794007
*
anonlogin
-1
gamerin.net/
1536
1694496128
29867432
392852224
29794006
* 


והנה לינק לסקריפט : http://gamerin.net/test.php
והנה לינק לפורום ( בשביל שיציב לכם את העוגייה ותוכלו לעבוד עם זה עם צריך ) : http://gamerin.net/forum/
והנה משתמש נסיון בשביל לבדוק את כול זה
שם משתמש : test1
סיסמא : test

למקרה שלא הבתם את כול הרעיון אני יסביר שוב אני מקבל ID מסויים מעוגייה ואותו אני מתכוון לעבוד אחרי זה בכול האתר לעשות הכול לתת גישות , לתת ניהול , לעשות הרבה דברים , השאלה שלי היא עם זה מאובטח לעבוד ככה כשאני מקלב את המספר הזה ?
האם יכולים לזייף את המספר הזה ?
ואם כול התשובות לשאלות פה כן אז מה אני עושה ?

כתבת ככה:

קוד PHP:

 $username = mysql_query("SELECT name FROM ibf_members WHERE $userid=id "); 


וכנראה שהתכוונת לכתוב ככה:

קוד PHP:

 $username = mysql_query("SELECT name FROM ibf_members WHERE id='{$userid}' "); 


זה לא מוגן בהחלט
עוגיות אפשר לזייף.

כדי לשמור על זה יותר מוגן, עדיף שתעשה הורדה של תווים מסויימים שיכולים לפגוע בשאילתה.


לדוגמא, יכולים להפוך את הערך של העוגייה למשל ל- AND user_pass=something

וכד'. לכן, למשל אם אתה אמור לקחת רק מספר, תעשה intval כדי להפוך את זה למספר וכדו'...

תעשה כל מיני פונקציות הגנה...

נניח שאני יעשה את זה
אבל בכול מקרה יכולים ללכת לעוגייה לשנות שם את המספר של המשתמש וזהו ?
השאלה היא עם אפשר לעשות דבר כזה וזה יפעל עם ישנו את המספר של המשתמש ?

דבר ראשון, אפשר לעשות בדיקה לסיסמא אם קיימת, כל פעם שהוא יכנס לסקריפט זה יבדוק אם הסיסמא נכונה, במידה וכן, ממשיך כרגיל, במידה ולא, מנתק אותו.

במידה ואין סיסמא, ניתן לעשות קוד אקראי. שברגע שנכנסים הוא מכניס את הקוד הזה לעוגיה + למסד. וכאשר הID של המשתמש לא תואם לקוד הזה במסד, זה מנתק אותו.

לא ממש הבנתי את החלק הזה "במידה ואין סיסמא, ניתן לעשות קוד אקראי. שברגע שנכנסים הוא מכניס את הקוד הזה לעוגיה + למסד. וכאשר הID של המשתמש לא תואם לקוד הזה במסד, זה מנתק אותו"
אתה יכול להסביר ?

אין סיסמא בגלל שאני רוצה לעשות הכול בשיתוף עם הפורום הכוונה היא שעם אתה מחובר כבר לפורום לא תצתרך להתחבר שוב .

תראה אני בדיוק עכשיו עשיתי משהו חיצוני לפורום, אני עובד עם הפורום VB (שכאן מותקן בפרש), והייתי צריך להכין מערכת חיצוני שתשתמש במסד של המערכת פורומים הנ"ל, ומשתמשים שמשנים סיסמא בפורום יוכלו להתחבר עם הסיסמא הזאת למערכת החיצוני, מה שעשיתי זה הוספתי טבלה נוספת קראתי ל "password_2" ונתתי להם הודעה שגיאה, שאומר שעד שהם לא מעדכנים תסיסמא אז הם לא יכולים לגלוש בפורום, ברגע שpassword_2 לא ריק, אז הם יכולים לגלוש כרגיל. (כמובן שצריך לדעת איך לעבוד עם המערכת בשביל לעשות את זה).

במידה ואתה לא יודע איך, אז קוד אקראי. מה כוונה?

קוד רנדומלי, לדוגמא:

קוד PHP:

 $rand_code = substr(md5(rand(100, 90000)) , 20, -7)); 


ברגע שמתמש מתחבר, אתה משתמש בקוד הזה, ומעדכן טבלה נוספת שתפתח במסד, למשל בשם logkey, תקבע עוגיה חדשה גם בשם logkey. ובהתחברות תעדכן גם במסד את הlogkey הזה, וגם בעוגיה, וכאשר מתחברים, מקבלים את הקוד הרנדומלי הזה, ואם משתנים את הID של המשתמש בעוגיה, הוא יזהה שLOGKEY לא תואם, וינתק אותו.

מקווה שהבנת

עכשיו הבנתי !
בעצם מה שאתה אומר זה להוסיף עוד איזה סעיף ביטחון , שהוא יהיה הקוד הרנדומלי שלי , ורק עם הקוד הרנדומלי הזה שווה לאותו ID ( באותו שורה איתו ) אז זה יפעל .
אני צודק ?

תודה רבה דרך אגב :-)

אמממ... כן צודק, תעשה את זה בפועל ותבין יותר טוב

בהצלחה.

בוא אני אגיד לך מה אני עשיתי...

עשיתי את הדבר הבא:

קוד PHP:

 if (is_numeric($ _COOKIE['user_id']) && is_string($ _COOKIE['user_password']))
{
 $ _COOKIE['user_id'] = intval($ _COOKIE['user_id']);
 
 # connecting the user to the system.
}
else
{
 # cya dud! (log off the user...)
} 


(כמובן לא בדיוק, אבל אותו עיקרון)

זה למשל דרך לאבטח את המערכת שלך בצעד אחד יותר...
כי אם מספר המשתמש הוא string (וה-string לא מכיל רק מספר), אז חבל על הזמן...אתה לא תוכל לחבר את המשתמש בצורה הנכונה וזה יהיה למעשה ניסיון לפרוץ למערכת שלך. אז עדיף שהפעולות ב- else יצאו (והמשתמש ינותק) מאשר שתחבר למערכת (או תנסה לחבר) את המשתמש שמנסה לפרוץ לך.

כמו שנאמר, עוגיות ניתן לזייף, והדרך הכי מאובטחת (לדעתי) היא ליצור טבלה בשם SESSION שם יהיה ID, שם משתמש.. סיסמא.. ובנוסף יהיה SID שזה בעצם ה- ID של הרשומה, בעוגיה יהיה את ה- SID ומשם אתה שולף את הנתונים, כמובן שה- SID יהיה רנדומלי או auto_incerment שעובר MD5 וכאלה..

הבעייה היא לעשות את זה בשילוב עם מערכת הפורומים שאני אותה לא מצליח לערוך .
עם תהיה מוכן לעזור לי בפרטי ולקדם אותי מה לערוך בדיוק בה אני מאוד יודה לך .

בקשר ל תגובה של DCD ברור שיהיה בדיקה בסוף עם זה STRING , אבל הדרך שנתתה היא עדין פריצה וזה לא ממש מונע שום דבר , חוץ מהמקרה שמשנים את ה ID למשהו אחר ולא ל STRING הדרך ש BLA_BLA ו TNADAV הצעיו זה כנראה הדרך האידיאלית

נכון, אבל זה לא יהיה רע להוסיף את הבדיקות שכתבתי.

בנוסף, מומלץ לעשות התאמה של הסיסמא עם ביטויים רגולריים...לבדוק אם כתוב רק אותיות ומספרים (בתנאי שהסיסמא שבעוגיה מוצפנת ב-MD5)...

אז מה הבעיה? תנסה להבין מה נמצא בעוגיה שהמערכת משתמשת בה ותשתמש בה.. זה הכל

אוקי להציב את הערך שאני צריך בעוגייה זה לא בעייה , הבעייה היא לעשות שברגע שמתחברים יתוסף הערך הזה לדאטה בייס

גם זה לא בעיה בכלל.

כשמתחברים פשוט תעשה שאילתה שתוסיף את הנתונים שקיבלת מטופס ההתחברות דרך מתודת POST (או מתודת GET אם עשית....ואני בספק...).

קוד PHP:

 mysql_query('INSERT....'.$ _POST['']) 


כול הקטע שאני לא יודע איפה זה ההתחברות שם אני לא מבין את הקוד הזה .

עם תהיה מוכן לעזור לי קצת בפרטי אני מאוד יודה לך

נמאס לכם לזכור סיסמאות? לחצו כאן!

אני גם משתמש בפונקציה הזאתי אבל מה בתכל'ס היא עושה?
איך בדיוק היא מגנה מפני SQL injections ?

1. שים לב לחלק של ה-ChangeLog בדף הפונקציה
2. הפונקציה פשוט מבריחה תווים שעלולים לשמש להזרקת SQL, למשל מרכאות בודדות.

כנס לPHP.NET ותראה על הפונקציה.

דרך אגב, אני עדיין לא הבנתי מה ההבדל בין
mysql_escape_string
ל
mysql_real_escape_string

אשמח להסבר

ציטוט:

Escapes special characters in the unescaped_string, taking into account the current character set of the connection so that it is safe to place it in a mysql_query(). If binary data is to be inserted, this function must be used.

בקיצור, הפונקציה "מתחשבת" בקידוד של המסד כשהיא מבריחה את המחרוזת.

רציתי לבדוק משהו ולראות עם באמת תצליחו לזייף את העוגייה .
הדיקה תיהיה ככה : http://gamerin.net/forum/
תיכנסו תתחברו שם משתמש test1 סיסמא test
אתם תקבלו את העוגייה , ואז תיגשו לדף הזה : http://gamerin.net/forum/
עם כתוב לכם TEST1 אז זה בסדר תנסו לעשות שהיה כתוב לך שם משתמש אחר ?

תודה על העזרה למי שינסה