Pełna wersja: [Grupy uzytkownikow][Poziomy dostepu] Czy bezpieczne jest przechowywanie informacji w sesji?
Czy bezpieczne jest przechowywanie informacji o prawach dostepu danej grupy w sesji? Jak mozna rozwiazac przechowywanie informacji o prawach dostepu danej grupy, tak zeby miec do niej szybki dostep i zeby to bylo bezpieczne w ramach mozliwosci?
Chodzi ci o takie cos ze ze do sesji zapisujesz prawa z bazy ktore sa np:
1=user
2=mod
3=admin
Pewnie ze jest bezpieczne trzymanie tego nawet w cookie wystarczy ze bedziesz dobrze sprawdzal dane zeby nie mozna bylo nimi manipulowac
1=user
2=mod
3=admin
Pewnie ze jest bezpieczne trzymanie tego nawet w cookie wystarczy ze bedziesz dobrze sprawdzal dane zeby nie mozna bylo nimi manipulowac
@marcio: pier***sz pan, jak takie cos mozna w ciastku czekac? i jak sprawdzisz ze user sam sobie nie wpisal ze jest adminen?
@deirathe
Czemu po prostu nie bedziesz pobieral tych danych z bazy ?
Czemu po prostu nie bedziesz pobieral tych danych z bazy ?
1. w sesji mozesz trzymac "wszystko" o ile dane sesji sa trzymane na serwerze (w bazie, w plikach , itp)
2. jak bedziesz trzymal uprawnienia w sesji to jak stwierdzisz ze userowi zostaly one odebrane? i nie moze juz byc powiedzmy adminem?
2. jak bedziesz trzymal uprawnienia w sesji to jak stwierdzisz ze userowi zostaly one odebrane? i nie moze juz byc powiedzmy adminem?
Dzieki wielkie, ja wymyslilem ze sstem ma moduly i kazdy modul sklada sie z klasy ktora jest dnamicznie tworzona jako obiekt w zaleznosci od tego co jest w url i ta klasa roszerza abstarkcyjna klase modulu, dziki czemu musi miec podstawowe metody a do pozostalych metod jest definicja ktora pozwala na nadanie praw czy grupa, uzytkownik moze wykonac danametode- i za to odpowiada klasa ModuleManager, ktora odpala moduly i metody w zaleznosci czy prawa grupy na to pozwalaja.
Czyli bede musial sesje przechowywac w db, a mocno to sie odbije na wydajnosci?
co do sesji to wiadomo ze z czasem wygasa powiedzmy po 10 min bezczynosci, i wtedy uprawnienia sa pobierane z tabeli od nowa i przechowywane w sesji tymczasowo
Czyli bede musial sesje przechowywac w db, a mocno to sie odbije na wydajnosci?
co do sesji to wiadomo ze z czasem wygasa powiedzmy po 10 min bezczynosci, i wtedy uprawnienia sa pobierane z tabeli od nowa i przechowywane w sesji tymczasowo
A jednak nie pier***e 
sam tak robie i jak narazie nikt sie nie wlamal poniewaz pobieram dane z bazy i kazdy user w cookie ma tez wlasny kod identyfikacyjny i jesli chce zmienic lvl to nie zmienisz bo sprawdzam cookie z danymy z bazy i cie wyloguje a jesli chcesz zmienic konto musisz znac kod user'a a jak sie wlamiesz albo zmienisz lvl(bez zadnych xss i sql inj o ile jeszcze takie sa w wyszukiwarce napewno bo w ogole jej nie poprawialem brak czasu) to zwroce honor, link posle ci na pw.
sam tak robie i jak narazie nikt sie nie wlamal poniewaz pobieram dane z bazy i kazdy user w cookie ma tez wlasny kod identyfikacyjny i jesli chce zmienic lvl to nie zmienisz bo sprawdzam cookie z danymy z bazy i cie wyloguje a jesli chcesz zmienic konto musisz znac kod user'a a jak sie wlamiesz albo zmienisz lvl(bez zadnych xss i sql inj o ile jeszcze takie sa w wyszukiwarce napewno bo w ogole jej nie poprawialem brak czasu) to zwroce honor, link posle ci na pw.
Cytat
poniewaz pobieram dane z bazy i kazdy user w cookie ma tez wlasny kod identyfikacyjny i jesli chce zmienic lvl to nie zmienisz bo sprawdzam cookie z danymy z bazy
1. No to skoro i tak sprawdzasz dane w bazie to po co ci one w cookie?
2. Nie mowiles wczesniej ze sprawdzasz uprawnienia usera (" wystarczy ze bedziesz dobrze sprawdzal dane zeby nie mozna bylo nimi manipulowac"), tzn ja tego tak nie zrozumialem, potraktowalem to jako sprawdzenie np. czy takie uprawnienia a ogole istnieja itp.
Aha to juz sobie wszystko wyjasnilismy nastepnym razem spróbuję byc bardziej zrozumialy
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.