אימות / התחברות לאתר קטן

WWW

@master אמר באימות / התחברות לאתר קטן:

אציין שהצורה שכתבתי פה לא מאובטחת מספיק זה רק בשביל להסביר את השיטה בצורה פשוטה

מה חסר פה עדיין עקרונית, מבחינת אבטחה?

master

@www
יש עוד הרבה מה להוסיף
לדוגמא שהקוקיס עצמו מכיל את הסיסמה
אבל אם זה כמו שכתבת בכותרת "אתר קטן" והמידע בתוכו לא סודי מאד זה בסדר

dovid

@master שסן זה פיצ'ר של PHP שבפועל משתמש עם קוקיס.
כמובן שהרבה יותר קל להשתמש בשסן וגם יותר בטוח מלממש את זה לבד,
אז היית מדגים לו על שסן (אני לצערי לא יודע).

WWW

@dovid אמר באימות / התחברות לאתר קטן:

(אני לצערי לא יודע).

?

WWW

@dovid אחפש מידע על סשן.

dovid

@www אמר באימות / התחברות לאתר קטן:

@dovid אמר באימות / התחברות לאתר קטן:

(אני לצערי לא יודע).

?

אני בקושי יודע לכתוב שורה בPHP.
גם המעט שידעתי שכחתי.
אתה אמור לכתוב קוד מאוד דומה לשל master רק קצר ופשוט יותר.

WWW

@master אמר באימות / התחברות לאתר קטן:

לדוגמא שהקוקיס עצמו מכיל את הסיסמה

כן, רק עכשיו אני תופס...

dovid

הנה ערכתי את הודעתו של @master (ישר כח!)

<?php
    if ($_POST['password'] == 'MYPASS') {
        $_SESSION['user'] = "שמעון";
        header('Location: index.php');
        exit;
    }
?>

ובכל דף אחר תציב את זה

<?php
    if (!isset($_SESSION['user'])) {
        header('Location: login.php');
        exit;
    }
?>

clickone

@dovid אמר באימות / התחברות לאתר קטן:

שסן זה פיצ'ר של PHP שבפועל משתמש עם קוקיס.

1. זה פיצר כללי. שממומש גם בPHP
2. איך אומרים? סשן או שסן? אני רואה שאתה מקפיד על 'שסן' משום מה אני זוכר שאומרים את זה 'סשן'
   כאן גם אני רואה שבעברית אומרים סשן

WWW

@dovid אמר באימות / התחברות לאתר קטן:

ובכל דף אחר תציב את זה

<?php
    if (!isset($_SESSION['user'])) {
        header('Location: login.php');
        exit;
    }
?>

מן הסתם שכחת:

|| $_SESSION['user'] !== 'שמעון'

dovid

@www אמר באימות / התחברות לאתר קטן:

@dovid אמר באימות / התחברות לאתר קטן:

ובכל דף אחר תציב את זה

<?php
    if (!isset($_SESSION['user'])) {
        header('Location: login.php');
        exit;
    }
?>

מן הסתם שכחת:

|| $_SESSION['user'] !== 'MYPASS'

לא, זה מיותר.

WWW

@dovid אמר באימות / התחברות לאתר קטן:

לא, זה מיותר.

הסבר?

dovid

@www אמר באימות / התחברות לאתר קטן:

@dovid אמר באימות / התחברות לאתר קטן:

לא, זה מיותר.

הסבר?

תסביר למה אתה חושב שזה לא, או יותר נכון תקרא על סשן.

WWW

@dovid אמר באימות / התחברות לאתר קטן:

הנה ערכתי את הודעתו של @master (ישר כח!)
<?php
if ($_POST['password'] == 'MYPASS') {
$_SESSION['user'] = "שמעון";
header('Location: index.php');
exit;
}
?>

לא צריך session_start(); בתחילת הקוד?

dovid

@clickone דיברו על PHP.
ואכן הייתה לי טעות דיסלקטית קבועה, תודה.
המושג סשן זה כמו כפתור, זה לא טכנולוגיה מסויימת אלא תיאור של התנהגות.
יש לזה מימוש בכל שפה שמיועדת לכתוב דפי אינטרנט.

dovid

@www אמר באימות / התחברות לאתר קטן:

לא צריך session_start(); בתחילת הקוד?

שאלה טובה, מסברא נראה לי שלא, תבדוק ותחכים.

dovid

הרגע אני קורא פה שאתה חייב, אחרת זה פשוט לא נשמר.

master

@dovid
חובה , זה בשביל לפתוח אותו , זה בנפרד מההגדרה של מה הוא יכיל,
סשן שומר את המידע עד כמה שידוע לי בצד השרת בלבד ולא בקוקיס כפי שציינת והוא יכול בגלל זה להכיל הרבה יותר דברים,

dovid

@master אמר באימות / התחברות לאתר קטן:

סשן שומר את המידע עד כמה שידוע לי בצד השרת בלבד ולא בקוקיס כפי שציינת והוא יכול בגלל זה להכיל הרבה יותר דברים,

המידע נשמר בצד שרת אבל הקשר (בין המידע לבין הלקוח הנוכחי) מבוסס עוגיות.