Forum Webscript.Ru
Программирование => Perl => Тема начата: Unregistered от 04 Августа 2002, 11:53:15
-
Возможно кому-то вопрос покажется глупым но я честно не понимаю как это реализуется. Допустим, есть регистр. страница, юзер регистрируется в системе (данные заносятся в БД, где хранятся его личные данные) потом когда-нибудь заходит в систему (заполняет поля "имя" и "пароль" на форме, она отправляет их скрипту, и он выдает страницу с какими-либо личными настройками). Юзер изменяет чего-нибудь и данные передаются скрипту чтоб изменить их в БД. Как скрипт узнает какому пользователю изменить настройки? Не передавать же имя и пароль на страницу настроек как input type=hidden?
-
Не передавать же имя и пароль на страницу настроек как input type=hidden?
А почему бы и нет ? В чем проблема то. Безопасность страдает, что ли от этого? По любому, что то скрипту передавать надо для идентификации пользователя, причем каждый раз.
-
Странно... , но чтобы это именно так делалось я пока не видел. Может есть какойто др. способ?
-
Unregistered, кстати, если не хочешь передавать хидден, можно использовать куки и IP. Но безопасность при этом понижается. За удобство надо платить.
Если тебе нужна безопасность, то не забудь про шифрование... Про метод "пост" я и не говорю, понятно что "гет" использовать нельзя.
-
чтобы это именно так делалось я пока не видел
Зато я видел, в форуме IkonBoard например, постоянно гоняет пароли
-
кстати, если не хочешь передавать хидден, можно использовать куки и IP. Но безопасность при этом понижается.
glebushka в каком именно месте она интересно понижается? Вот в хиденах весь этот мусор тащить -- да, тут уже простым снифером обойтись можно.
-
1. куки могут быть отключены, а про ip я где-то слышал что он меняется от подключения к подключению (на Dial-Up). В такой ситуации выходит только хидден прокатывает.
2. можно по подробнее про шифрование?
-
я где-то слышал что он меняется от подключения к подключению (на Dial-Up).
Ага. ты правильно слышал. Чтоб он не менялся в большинстве случаев надо доплатить провайдеру за эту функцию.
подробнее про шифрование
поиск по форуму рулит.
в каком именно месте она интересно понижается
как только за компьютер садится другой человек, а куки и IP - остаются прежними.
Меня лично это никогда особо не волновало, т.к. не писал скриптов где настолько критична была безопасность, а в админ интерфейсе передавал пароли через хидден, но без шифрования. Воть.
_________________________
глебушка я!
-
Посмотрите как я реализовал это на
[moderator hat on]
Безосновательная реклама запрещена на этом форуме
[moderator hat off]
-
Действительно, а что если требуется безопасность?
Может в perl есть что-нибудь типа сеансов или сессий?
2APL: раз реклама тут запрещена -- расскажи хоть на словах...
-
На словах:
1. чел заходит -> проверяем есть ли й него id в куки -> если есть проверяем не истек ли срок id (истек -> выделяем новый и пишем его в куки с определенным сроком действия, а также во все ссылки при генерации страниц типа /kjsdhf.html?id=93473573), зыписываем инфу о id в базу (id, creation_date, last_access_date, ip), ну и соответственно lst_access_date - время посл доступа будет обновляться при каждой загрузке и проверятся не устарело ли и соответствует ли ip.
во всех ссылках и формах мы передаем только id. даже если подсмотрят твой кэш - ip будет другой.
может я чего непонятно объяснил - пиши - дам ссылки и напишу схему более подробно - она работает С ЛЮБЫМИ настройками!
-
ну и для регистрации создаешь еще одну базу (б2) где мы храним (login, password, creation_date, last_access_date, id)
при корректном логине (когда у чела уже есть id) мы ему пишем в строку с его login, pwd его id - залогинились
logout - удаляем id (из б2)
естественно со всяческими проверками
-
да и еще можем записать ему в куки что-нибудь с неогр временем действия для проверки включены ли они
-
2APL:
вроде нормально...
лучше, конечно, чтоб ты дал те самые ссылки и ту самую схему...
-
Unregistered
Кинь мыло - отвечу или прямо тут.
P.S. Только через 1-2 дня
-
2APL:
вот мыло : andy@superman.ru
заранее спасиба.