Kirma פורסם 2012 ביוני 1 Share פורסם 2012 ביוני 1 שלום,יש לי בעיה קטנה במערכת שאני בונהאני רוצה שלא יוכלו להיכנס לקבצים בתיקייה folderלדוגמאhttp://site.com/folder/file.phpאני יכול לחסום את זה בקלות דרך htaccessאבל הבעיה היא שגם המערכת לא מצליחה לגשת לקובץלצורך הדוגמא זה הקוד שמנסה להגיע לקובץ (jQuery): $("#DisplayGreen2").load("/folder/file.php?action=update&id="+id+"&version="+version+"&link="+linkk);איך אפשר לעשות את זה ?בנוסף ניסתי דרך אחרת ב PHP שהגדרתי define והוספתי if בקובץ \ תיקייה שאני רוצה לחסוםאבל לצערי המערכת נחסמה קישור לתוכן שתף באתרים אחרים More sharing options...
שניצל פורסם 2012 ביוני 1 Share פורסם 2012 ביוני 1 תזכור ב-jQuery רץ כולו בצד הלקוח, וכל בקשה שהוא מפנה לשרת (לדוגמה באמצעות load או עם ajax) הוא עושה את זה כמו כל לקוח אחר. לכן אם דף כלשהו צריך להיות חשוף לשאילתות שמגיעות מ-jQuery הוא צריך להיות חשוף לכל לקוח.לא הבנתי מה הפתרון שעשית בסוף. קישור לתוכן שתף באתרים אחרים More sharing options...
Kirma פורסם 2012 ביוני 1 מחבר Share פורסם 2012 ביוני 1 הבנתי.. אז עם htaccess הדבר לא אפשרי לגבי הדבר האחרון שעשיתי זה הגדרתי משתנה בדף הראשיdefine ("ACCESSCHECK", 1);ובדף שאני רוצה לחסום הוספתי if (!defined(ACCESSCHECK)) die...אבל זה גם לא עבד יש למישהו פתרון אחר ? בכל מקרה, חשבתי לעשות בדיקת קוקיס בדף שאני רוצה לחסום ולבדוק אם הקוקיס תואם ל SQLבמידה ולא, הדף יראה שגיאהבמידה וכן, המשך עבודה רגילה יעבוד ?עדכון:אוקיי, עניין העוגיות עובד.לא ניתן להציג את הדף במידה והסיסמא ששמורה בקוקיס לא תואמת לסיסמא במסד הנתוניםאם למישהו יש רעיונות אחרים, אשמח לשמוע למרות שאני דיי מסופק מהפתרון הזה קישור לתוכן שתף באתרים אחרים More sharing options...
domiel פורסם 2012 ביוני 3 Share פורסם 2012 ביוני 3 בבקשה ממך, אל תשמור סיסמאות cleartext בעוגייות!אם אתה שומר משהו זה salted hash וגם זה לא רעיון טוב.מקובל לתת למשתמש עוגיית session שהיא יחודית לו ולא קשורה בשום צורה לסיסמא, את הקישור בין המשתמש לעוגייה תעשה דרך טבלה בDBותדאג לשים תוקף על עוגיות כאלו!כמו כן לא מקובל לשמור סיסמאות as is בDB, במקרה ומצליחים לעשות לך sql injection הדרך מפה לכל היוזרים שלך מהירה.מאוד ממליץ לקרוא על session hijacking ועל sql injection. קישור לתוכן שתף באתרים אחרים More sharing options...
Kirma פורסם 2012 ביוני 3 מחבר Share פורסם 2012 ביוני 3 לא קריטי בשבילילמרות שאני משתמש ב md5 לסיסמאוב mysql escapeולמעשה חוץ מהסיסמאות, כל המידע גלוי באתרפשוט המערכת ניהול מאפשר להוסיף ולערוך את המידעאולי בעתיד אני יבצע בדיקת התאמה בין הסיזיון לעוגיות כמו שהצעת .. (כמו שאמרתי, כרגע זה לא קריטי) קישור לתוכן שתף באתרים אחרים More sharing options...
Recommended Posts
ארכיון
דיון זה הועבר לארכיון ולא ניתן להוסיף בו תגובות חדשות.