4
תגובות

כתיבת עוגייה למערכת משתמשים

פתח משתמש_237792 ,
[b]מה צריכה להכיל עוגייה למשתמש?
[/b]הבנתי שצריך להצפין גם את הID,למה?

4 תשובות

avatar ענה intval ב 12 ליוני 2012 #

אם לי בעוגיה כתוב 1 ואני פותח אותה ומשנה אותה ל 2, מה יקרה כשאני אגיע לאתר?

avatar ענה משתמש_228198 ב 12 ליוני 2012 #

אני אבדוק עם הססמא ששמורה אצלך בעוגיה אחרת, ואגלה לאחר חיפוש במסד שבשורה בה הID הוא 2, הססמא אחרת.

avatar ענה intval ב 12 ליוני 2012 #

נכון. אנשים מסוימים מעדיפים שלא לתת לך בכלל את האפשרות לשנות את ה ID
ולמנוע ממך את החשק ללכת לכתוב סקריפט שפשוט משנה את ה ID כל פעם ובא לאתר שלך.

אני לא ממש מסכים איתם, כי אם אתה מצפין את ה id זה מוסיף הרבה לזמן הפיענוח והחיפוש ואין לזה באמת תועלת. ככה שאין באמת סיבה להפצין גם אותה. מה שכן חשוב לעשות - זה לא לשמור את הסיסמה האמיתי בקוקי בצורה לא מוצפנת.

בתשובה לשאלה הראשונה שלך - עוגיה של משתמש יכולה להיראות בצורה הבאה:

$id .'x'. hash('sha512',  sha1($pwdAsAppearsInDB . $id) . $salt , false);

בצורה הזאת יהיה לך מספיק מידע בשביל לבצע שליפה יעילה מהמסד ולא לתת לאף אחד שום מידע מיותר.

avatar ענה משתמש_238505 ב 13 ליוני 2012 #

אני בכלל הייתי עושה דבר כזה
הייתי יוצר בטבלה מסד של התחברויות.
ושמה יש ID הID של המשתמש והסיסמה שלו(מוצפנת).
ויוצר קוקיז על הID (של התחברות לא של המשתמש)+ הסיסמה של המשתמש מוצפנת.
וככה אני גם יכול לשלוט על כך שאני רוצה לנתק אותם מהאתר.