Куки на машине пользователя
Вопрос в следующем, допустим я делаю авторизацию пользователя на сайте и в случае успешной авторизации устанавливаю куки (setcookie('auth','yes',time()+3600);). данная кука например открывает доступ к закрытой части сайта. Так вот, можно ли с машины пользователя самому создать куки и обойти это ограничение?
Можно создать самому, можно перенести с другой машины, можно прицепить к HTTP трафику.
Самый простой способ зафиксировать авторизацию пользователя использовать сессии. Тогда у пользователя хранится только идентификатор сессии, а на сервере хранится статус авторизации.
Если сессии чем-то не устраивают, то можно реализовать аналогичный механизм
- Генерируем некоторое случайное число
- Записываем его в базу для этого пользователя. Там же в базу записываем время логина
- Отсылаем пользователю две куки с идентификатором (как вариант - логином) пользователя и сгенерированное число.
При подключении пользователя проверяем
- Есть ли нужные куки
- Совпадают ли числа присланные пользователем и записанное в базе
- Не истекло ли время логина.
Если все ОК - то пользователя пускаем, время логина и куки обновляем. MD5 хеши добавить по вкусу
-
21:33
Виртуальный выделенный сервер (VDS) становится отличным выбором
-
22:26
-
22:40
-
08:34
-
15:01
-
17:01
-
11:24
-
10:16
-
17:54
- Почему SERVER_ADDR имеет не тот IP 47684 visits
- Как заменить $_SERVER[REMOTE_ADDR] на IP клиента в PHP за двумя Nginx? 30536 visits
- Хочу вывести несколько строк из массива в один div, выводит только много undefined; подскажите, что делать? 23713 visits
- Как через css изменить цвет png изображения? 10367 visits
- Blob video url download 9976 visits
- Php curl запрос через прокси с авторизацией 9232 visits
- Работа с captcha vk api 8112 visits
© "hostciti.net" 13.1.2025 | 11:46