deirathe
23.09.2008, 13:58:56
Czy bezpieczne jest przechowywanie informacji o prawach dostepu danej grupy w sesji? Jak mozna rozwiazac przechowywanie informacji o prawach dostepu danej grupy, tak zeby miec do niej szybki dostep i zeby to bylo bezpieczne w ramach mozliwosci?
marcio
23.09.2008, 18:07:06
Chodzi ci o takie cos ze ze do sesji zapisujesz prawa z bazy ktore sa np:
1=user
2=mod
3=admin
Pewnie ze jest bezpieczne trzymanie tego nawet w cookie wystarczy ze bedziesz dobrze sprawdzal dane zeby nie mozna bylo nimi manipulowac
dr_bonzo
23.09.2008, 18:46:43
@marcio: pier***sz pan, jak takie cos mozna w ciastku czekac? i jak sprawdzisz ze user sam sobie nie wpisal ze jest adminen?
Lethys
23.09.2008, 20:07:18
@deirathe
Czemu po prostu nie bedziesz pobieral tych danych z bazy ?
dr_bonzo
23.09.2008, 21:01:42
1. w sesji mozesz trzymac "wszystko" o ile dane sesji sa trzymane na serwerze (w bazie, w plikach , itp)
2. jak bedziesz trzymal uprawnienia w sesji to jak stwierdzisz ze userowi zostaly one odebrane? i nie moze juz byc powiedzmy adminem?
deirathe
24.09.2008, 07:39:01
Dzieki wielkie, ja wymyslilem ze sstem ma moduly i kazdy modul sklada sie z klasy ktora jest dnamicznie tworzona jako obiekt w zaleznosci od tego co jest w url i ta klasa roszerza abstarkcyjna klase modulu, dziki czemu musi miec podstawowe metody a do pozostalych metod jest definicja ktora pozwala na nadanie praw czy grupa, uzytkownik moze wykonac danametode- i za to odpowiada klasa ModuleManager, ktora odpala moduly i metody w zaleznosci czy prawa grupy na to pozwalaja.
Czyli bede musial sesje przechowywac w db, a mocno to sie odbije na wydajnosci?
co do sesji to wiadomo ze z czasem wygasa powiedzmy po 10 min bezczynosci, i wtedy uprawnienia sa pobierane z tabeli od nowa i przechowywane w sesji tymczasowo
marcio
24.09.2008, 14:02:45
A jednak nie pier***e

sam tak robie i jak narazie nikt sie nie wlamal poniewaz pobieram dane z bazy i kazdy user w cookie ma tez wlasny kod identyfikacyjny i jesli chce zmienic lvl to nie zmienisz bo sprawdzam cookie z danymy z bazy i cie wyloguje a jesli chcesz zmienic konto musisz znac kod user'a a jak sie wlamiesz albo zmienisz lvl(bez zadnych xss i sql inj o ile jeszcze takie sa w wyszukiwarce napewno bo w ogole jej nie poprawialem brak czasu) to zwroce honor, link posle ci na pw.
dr_bonzo
24.09.2008, 14:23:02
Cytat
poniewaz pobieram dane z bazy i kazdy user w cookie ma tez wlasny kod identyfikacyjny i jesli chce zmienic lvl to nie zmienisz bo sprawdzam cookie z danymy z bazy
1. No to skoro i tak sprawdzasz dane w bazie to po co ci one w cookie?
2. Nie mowiles wczesniej ze sprawdzasz uprawnienia usera (" wystarczy ze bedziesz dobrze sprawdzal dane zeby nie mozna bylo nimi manipulowac"), tzn ja tego tak nie zrozumialem, potraktowalem to jako sprawdzenie np. czy takie uprawnienia a ogole istnieja itp.
marcio
25.09.2008, 18:05:38
Aha to juz sobie wszystko wyjasnilismy nastepnym razem spr
ób
uję byc bardziej zrozumialy
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę
kliknij tutaj.