Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: [Grupy uzytkownikow][Poziomy dostepu] Czy bezpieczne jest przechowywanie informacji w sesji?
Forum PHP.pl > Forum > PHP
deirathe
Czy bezpieczne jest przechowywanie informacji o prawach dostepu danej grupy w sesji? Jak mozna rozwiazac przechowywanie informacji o prawach dostepu danej grupy, tak zeby miec do niej szybki dostep i zeby to bylo bezpieczne w ramach mozliwosci?
marcio
Chodzi ci o takie cos ze ze do sesji zapisujesz prawa z bazy ktore sa np:
1=user
2=mod
3=admin

Pewnie ze jest bezpieczne trzymanie tego nawet w cookie wystarczy ze bedziesz dobrze sprawdzal dane zeby nie mozna bylo nimi manipulowac
dr_bonzo
@marcio: pier***sz pan, jak takie cos mozna w ciastku czekac? i jak sprawdzisz ze user sam sobie nie wpisal ze jest adminen?
Lethys
@deirathe

Czemu po prostu nie bedziesz pobieral tych danych z bazy ?
dr_bonzo
1. w sesji mozesz trzymac "wszystko" o ile dane sesji sa trzymane na serwerze (w bazie, w plikach , itp)
2. jak bedziesz trzymal uprawnienia w sesji to jak stwierdzisz ze userowi zostaly one odebrane? i nie moze juz byc powiedzmy adminem?
deirathe
Dzieki wielkie, ja wymyslilem ze sstem ma moduly i kazdy modul sklada sie z klasy ktora jest dnamicznie tworzona jako obiekt w zaleznosci od tego co jest w url i ta klasa roszerza abstarkcyjna klase modulu, dziki czemu musi miec podstawowe metody a do pozostalych metod jest definicja ktora pozwala na nadanie praw czy grupa, uzytkownik moze wykonac danametode- i za to odpowiada klasa ModuleManager, ktora odpala moduly i metody w zaleznosci czy prawa grupy na to pozwalaja.
Czyli bede musial sesje przechowywac w db, a mocno to sie odbije na wydajnosci?


co do sesji to wiadomo ze z czasem wygasa powiedzmy po 10 min bezczynosci, i wtedy uprawnienia sa pobierane z tabeli od nowa i przechowywane w sesji tymczasowo
marcio
A jednak nie pier***e smile.gif sam tak robie i jak narazie nikt sie nie wlamal poniewaz pobieram dane z bazy i kazdy user w cookie ma tez wlasny kod identyfikacyjny i jesli chce zmienic lvl to nie zmienisz bo sprawdzam cookie z danymy z bazy i cie wyloguje a jesli chcesz zmienic konto musisz znac kod user'a a jak sie wlamiesz albo zmienisz lvl(bez zadnych xss i sql inj o ile jeszcze takie sa w wyszukiwarce napewno bo w ogole jej nie poprawialem brak czasu) to zwroce honor, link posle ci na pw.
dr_bonzo
Cytat
poniewaz pobieram dane z bazy i kazdy user w cookie ma tez wlasny kod identyfikacyjny i jesli chce zmienic lvl to nie zmienisz bo sprawdzam cookie z danymy z bazy

1. No to skoro i tak sprawdzasz dane w bazie to po co ci one w cookie?
2. Nie mowiles wczesniej ze sprawdzasz uprawnienia usera (" wystarczy ze bedziesz dobrze sprawdzal dane zeby nie mozna bylo nimi manipulowac"), tzn ja tego tak nie zrozumialem, potraktowalem to jako sprawdzenie np. czy takie uprawnienia a ogole istnieja itp.
marcio
Aha to juz sobie wszystko wyjasnilismy nastepnym razem spróbuję byc bardziej zrozumialy smile.gif
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.