Cookies, innlogging, sikkerhet.

[Paracet]

Hallo, jeg bruker cookies for å sjekke om bruker/admins er logget inn.

 

Logger inn bruker:

setcookie("bruker", $brukernavn, "domene.no");

Logger inn admin:

setcookie("admin", $brukernavn, "domene.no");

 

Problemet mitt er at om jeg er logget inn som "bruker" på websidene og bruker Opera(Sikkert andre måter og editere cookies). Da kan jeg selv editere cookien fra å hete "bruker", til å hete "admin" og så er man logget inn som admin?

 

Er det noe triks for å unngå dette? (bortsett fra å navngi cookien noe mindre opplagt)

Endret 28. august 2005 av Paracet

[dabear]

Jupp, bruk sessions istedet. Der lagres kun en id i ei kjekse hos brukeren. Resten lagres på serveren. Husk å sjekke ipen for hver side du bruker sessions

Endret 28. august 2005 av dabear

[0lav]

Men sessions blir slettet med en gang brukeren lukker browseren... Så en mulighet er hvis du bruker mysql at du har en rad i mysql som heter feks status, også sjekker du hva som står i coockisen opp mot det.. Feks hvis admin olav er logget inn, så har han 4 coockiser.. 1. IP 2. Brukernavn 3. Passord og 4. status.. Du sjekker nr. 1 mot $_SERVER['REMOTE_ADDR'] (gjerne md5() elr sha1() av ip adressen) også sjekker du de tre andre opp mot rader i mysql databasen.. Så hvis det egentlig stod bruker på status feltet i coockisen og jeg endra den til admin så ville du funnet ut at jeg ikke var admin når du sjekket det opp mot databasen..

 

Ble litt uoversiktlig og dårlig forklart.. Men jeg tror noe sånt vil funke hvertfall...

[Paracet]

Takk skal du ha Olav. Skjønner hva du mener, og det ser ut som om det vil fungere. Skal prøve å kode det nå.

 

Har valgt å bruke cookies, så derfor dropper jeg sessions denne gangen, men takk for tipset dabear.

 

Takk begge to

[Zic0]

Du kan også md5e statusene dems, så vedkommende ikke finner så lett ut hva er. GJerne med litt sha1 o.s.v