17.08.2009

Channel php.de ausgewählt, Log vom 17.08.2009

Seite:  1 2 3 >  Letzte Seite

Chatlog

Blar: tliff: wie finden sie http://podcasts.foobox.de/?
h0d3nt3uf3l: ich hab eben beim einloggen den username mit nem cookie angesetzt damit ich die variable hab, diese variable binde ich eben an das ?
myname: h0d3nt3uf3l: lol.
@tliff: Blar: alle moeglichen feeds
myname: h0d3nt3uf3l: heißt wenn ich bei mir den cookie auf "admin" ändere gehört die seite mir?
h0d3nt3uf3l: nö ^^ brauchst ja 1. noch das pw, und 2. nen benutzer der existiert
h0d3nt3uf3l: oder nich ^
myname: h0d3nt3uf3l: du hast das passwort im cookie gespeichert?
h0d3nt3uf3l: md5
h0d3nt3uf3l: pw
myname: was zur hölle tust du da
myname: srsly
h0d3nt3uf3l: ein anfänger sein der keine ahnung hat.... aber das was ich mache will sowieso keiner sehen weils unnütz is
h0d3nt3uf3l: ui es geht...
h0d3nt3uf3l: hast recht gehabt blar... zumindest bin ich wegen deiner antwort auf etwas gekommen ;) http://pastebin.com/m53351aa6 falls dich interessiert
myname: h0d3nt3uf3l: lies mal was sessions sind und wofür man sie verwendet
hellangel: h0d3nt3uf3l: http://tut.php-quake.net
h0d3nt3uf3l: myname, ne session würde auch nix bringen weil jeder benutzer auf der index-seite aufgelistet ist
myname: h0d3nt3uf3l: und weiter?
myname: was hat das mit der session zu tun?
h0d3nt3uf3l: nja so wie ich das gerade überflogen habe meine ich dass sesseions eben aus dem username ne id erstellen und du mit dieser id (im cookie) dein zeug erledigst
myname:
h0d3nt3uf3l: sondern?
myname: die id ist mehr oder weniger zufällig
h0d3nt3uf3l: jup
hellangel: h0d3nt3uf3l: es sollte so laufen.. du hast eine tabelle users, darin ist die id, der username, das psswort und ggf. noch die email-adresse...
myname: und die id verweist auf eine datei auf dem server
myname: und in dieser datei kannst du beliebige daten speichern
myname: die der user nicht verändern kann
myname: und in letzterm punkt liegt der unterschied zu deinem cookie-system
myname: in cookies kann stehen was immer ich will
h0d3nt3uf3l: du meinst also dass wenn du dir nen cookie setzt, auf der seite alles ändern kannst
h0d3nt3uf3l: ohne sessionid
myname: ich kann alles was du bei mir speicherst ändern
myname: wie gefährlich das ist hängt davon ab die die seite gecodet ist
myname: bei deinem system musst du ja bei jedem klick den ich tue in die datenbank gucken ob name und passwort stimmen
h0d3nt3uf3l: ja klar... aber ich mein du willst ja darauf hinaus dass es so nich sicher is wie ich es geschrieben habe
myname: entweder nicht sicher oder arschlangsam, eines von beiden ist es
h0d3nt3uf3l: reicht es da nich dass das pw mit md5 gehasht is?
hellangel: wieso nicht einfach beim login SESSION variable "eingeloggt" auf 1 setzen und dann diese variable abzufragen?
myname: h0d3nt3uf3l: im prinzip schon, aber du musst jedes mal prüfen ob name und passwort stimmen
myname: h0d3nt3uf3l: und das dauert seine zeit
myname: und wenn du mal nicht prüfst hast du ne potentielle lücke
h0d3nt3uf3l: achso, du meinst der cookie den ich gesetzt hab wird permanent abgefragt?
myname: musst du doch
myname: wo speicherst du sonst den usernamen?
myname: angenommen ich ändere den usernamen im cookie in admin
myname: um zu prüfen ob ich wirklich admin bin musst du prüfen ob username und passwort passen
myname: und das JEDES mal
myname: bei jedem klick
h0d3nt3uf3l: jup stimmt... die session id wird nich im cookie gespeichert oder wie?
myname: doch
myname: aber die zu bearbeiten bringt nicht viel
h0d3nt3uf3l: und was hat es dann mit der schnelligkeit auf sich?
myname: ich müsste die session-id des admins kennen um in seine rolle zu schlüpfen
h0d3nt3uf3l: jo und das is schwer weils ne zufallszahl is
myname: du musst nicht prüfen o.O
myname: beim login überprüfst du username und passwort
h0d3nt3uf3l: aso okay... check ich grad nich aber ich beles mich morgen mal
myname: wenns stimmt speicherst du in der session: eingeloggt => true
myname: und fertig
h0d3nt3uf3l: ah.. und dann fragste nur ob der cookie true is
myname:
h0d3nt3uf3l: mist
myname: den cookie fragst du gar nix
myname: im cookie steht nix für die seite interessantes
h0d3nt3uf3l: nja, wie gesagt ich beles mich morgen mal... aber ich denke es is überflüssig weil guck dir mal an was du da machen kannst auf der seite www.hodenteufel.de/BFH/BFH/Login/index.php
h0d3nt3uf3l: gut, wegen der geschwindigkeit isse sne überlegung wert
h0d3nt3uf3l: aber selbst is im gesamten evtl 1sec die das ausmacht wegen dem ändern
hellangel: Metaphernhoernchenschutzverein ist doch die richtige antwort :(

Seite:  1 2 3 >  Letzte Seite

Zurück zur Übersicht

Webseiten Tipps

Hier gehts zum jquery Tutorial.
Meine schwarze Webseite: iPhone4Spiel

Die seriöse Partnervermittlung nutzen.