parser

/faq/faq
/authors/авторы
/docs/документация

/powered_by_parser/в действии
/feedback/куда говорить
/jargon/жаргон

/download/скачать

/examples/примеры
/forum/форум



Поиск по форуму

По умолчанию ключевое слово ищется только в заголовке сообщения.

Ключевое слово:

Фильтровать по автору:



Хранить пароли в куках - полный сакс...

Misha 07.09.2001 18:26

Хотя и IP хранить в куке по моему незачем...

Если авторизация прошла - генеришь сессионный случайный код, пишешь в базу юзеру и в куку.
Т.е. у юзера в куках его имя и его сессионный ключ.

На любой страничке ты можешь проверить валидность этих данных. При этом никакой персональной информации в куках держать не стоит и тем более не стоит от нее отталкиваться при каких-либо action.
Если этот юзер что-то хочет удалить/добавить - проверяй заново (по имени/сессии) кто это, какие у него права, и только после этого или посылай его далеко или давай сделать что надо.
Можешь так-же генерить дополнительную инфу, чтобы кракерам просто не было, но не ориентируйся по ней.
Например:
юзер получил доступ к форуму. Получилось, что он администратор в этом форуме. Ты повесил имя/сессионный ключ в куки и даешь ему кнопки (только) для управлением форума.
Он захотел поредактировать, выбрал сообщение. Ты в формочку для редактирования написал id мессаги, id форума, ещё что-нить... Но например, в твоем форуме id мессаги уникально идентифицирует, В КАКОМ ФОРУМЕ она живет.
И вот после постинга ты по id мессаги берешь id форума, по id форума, имени и сессионного ключа из куки берешь права его на форум и решаешь - не гад-ли он :)

Согласен, это все нужно далеко не всегда, но если делать нормально, то делать...
А может у меня просто паранойя.

<<  Вернуться к списку сообщений


E-mail: mailbox@parser.ruCopyright © 1997-2001 Студия Артемия Лебедева