почему именно нужно хранить id, а не login, допуская что login уникальное поле?в чем твоя логика? если ты видишь что все хранят id, не нужно думать что и для себя тоже нужно хранить id юзера
_____________
Полная Версия: Вопрос о Сессиях
AllesKlar
почему именно нужно хранить id, а не login, допуская что login уникальное поле?в чем твоя логика? если ты видишь что все хранят id, не нужно думать что и для себя тоже нужно хранить id юзера
_____________
почему именно нужно хранить id, а не login, допуская что login уникальное поле?в чем твоя логика? если ты видишь что все хранят id, не нужно думать что и для себя тоже нужно хранить id юзера
_____________
| Цитата (I++ @ 6.11.2014 - 02:38) |
| не пользоваться костылем в виде htmlentities, specialchars и тд. |
с чего бы это костыли?
| Цитата (I++ @ 6.11.2014 - 04:37) |
| Методом GET нельзя менять состояние |
полностью поддерживаю
| Цитата (I++ @ 6.11.2014 - 04:37) |
| Выцепить токен из формы сложновато, а вот куку попроще. |
если хацкер поимел доступ к кукам, значит и к контенту доступ у него есть. CSRF токен тут совершенно бесполезен. Он как раз нужен от слепых атак.
| Цитата (I++ @ 6.11.2014 - 04:37) |
| Можно всегда подключиться к говнопровайдеру, и послать глухой запрос с IPишником юзера, определив его IP по пикселю или заставив загрузить картинку с хоста example.com. Вообще щас этот метод не сильно канает, провайдеры научились нанимать грамотных админов, а не школоту всякую, но бывают исключения. |
а tcp sequence number как угадать? Неужели методы Кевина Митника из 90-х ещё работают?
| Цитата (I++ @ 6.11.2014 - 04:37) |
| Да и форум живет уже давно и никто его вроде и не шатал, да и пусть дальше не шатает никто, тут уютно) |
Ошибаешься, шатали и не раз
логаут можно делать через GET, главное чтоб токен был. Но православней конечно POST.
_____________
Профессиональная разработка на заказ
Я на GitHub | второй профиль
_____________
Профессиональная разработка на заказ
Я на GitHub | второй профиль
Dno
Ну... как говорится, хозяин-барин
Твой код работает, работает верно, но мое мнение таково, что нужно совершать минимум движений, это мнимизирует ошибки при разработке.
johniek_comp
Ну... как говорится, хозяин-барин
Твой код работает, работает верно, но мое мнение таково, что нужно совершать минимум движений, это мнимизирует ошибки при разработке.
johniek_comp
| Цитата |
| почему именно нужно хранить id, а не login, допуская что login уникальное поле?в чем твоя логика? если ты видишь что все хранят id, не нужно думать что и для себя тоже нужно хранить id юзера |
Несомненно login уникальное поле.
И будет работать. Но если я увижу, что мой разработчик идентифицирует пользователя по полю login, то будет он жестко бит по рукам.
Почему? Потому что база.. и если первичный ключ в таблице users - поле login, которое, следовательно, присутсвует во всех остальных связных таблицах - убить без суда и следствия.
_____________
[продано копирайтерам]
| Цитата |
| с чего бы это костыли? |
Потому, что я представляю себе будущее веба как разделение логики и данных, где не нужно пользоваться всем этим. Сейчас же идет каша из данных и логики.
| Цитата |
| если хацкер поимел доступ к кукам, значит и к контенту доступ у него есть. CSRF токен тут совершенно бесполезен. Он как раз нужен от слепых атак. |
Не всегда так... Насчет методов, не всегда, обычно на точках L2, L1 сетей, вся эта мишура фильтруется. Поэтому и маловероятен такой подход.
| Цитата |
| Ошибаешься, шатали и не раз |
Печально
| Цитата (I++ @ 6.11.2014 - 20:51) |
| Потому, что я представляю себе будущее веба как разделение логики и данных, где не нужно пользоваться всем этим. Сейчас же идет каша из данных и логики. |
с трудом себе это представляю
| Цитата (I++ @ 6.11.2014 - 20:51) |
| Не всегда так... Насчет методов, не всегда, обычно на точках L2, L1 сетей, вся эта мишура фильтруется. Поэтому и маловероятен такой подход. |
за двадцать лет реализация протоколов tcp/ip существенно улучшилась, в современных ОС предугадать TCP ACK вроде как нереально. Поэтому слепому ip спуфингу протокол tcp не подвержен (чего нельзя сказать про udp, там вся надежда только на фильтрацию на нижних уровнях)
| Цитата (Invis1ble @ 6.11.2014 - 17:27) |
| логаут можно делать через GET, главное чтоб токен был. Но православней конечно POST. |
в том то и беда что у нас на форуме его нет. Если бы I++ запихал урл не в ссылку, а прямо в src картинки, то логаут выкидывал бы всех, кто заходил в топик автоматом.
Нужно ФэтКэту багрепорт писать
| Цитата |
| Если бы I++ запихал урл не в ссылку, а прямо в src картинки, то логаут выкидывал бы всех, кто заходил в топик автоматом. |
с картинкой не проканает, я проверял несколько месяцев назад. При вставке [img] требует URL без query. Вот если б были настроены ЧПУ - тогда да.
А FatCat'у уже писали насчет CSRF, в некоторых местах пофиксил.
_____________
Профессиональная разработка на заказ
Я на GitHub | второй профиль
| Цитата (Invis1ble @ 7.11.2014 - 10:29) |
| Вот если б были настроены ЧПУ - тогда да. |
ну дык а ктож мешает это сделать?
Редиректы никто не отменял.
Ты прав, чет я не думал, что редирект в картинках работает
_____________
Профессиональная разработка на заказ
Я на GitHub | второй профиль
_____________
Профессиональная разработка на заказ
Я на GitHub | второй профиль
О вы про редирект вспомнили, я не сомневался, что кому нужно тот знает об этом. Я в демке не стал так делать, потому, что это злючный пример был бы. Поэтому картинка с видом под спойлер нагляднее.
Здесь расположена полная версия этой страницы.