PC-HELP.CZ

Zdravím všechny programátory a vývojáře webů, už po xté jsem se setkal s problémem přesměrování na stránce, který vedl k snadnému prolomení bezpečnosti webu, typický příklad administrace, zkontrolujete zda-li je cookie nebo session prázdná a v případě vrácení hodnoty true přesměrujete, mnozí z programátorů tak vytvoří fatální chybu, otázka prolomení je 10 sekund.

Dejme si příklad, mám administraci na webu : /admin/admin.php

V souboru admin mám script, která zkontroluje, zda-li se uživatel přihlásil, pokud ne, tak ho to přesměruje nejspíše na index, tedy /admin/index.php a tam ho to poprosí o přihlášení, jde mi o kus kodu, kterým ho přesměrujete, tedy header...

Prosím všechny, kteří o tomto fatálním problému vědí, nepište to. - Napíši to sám v závěru

Myslis tohle?

<?php header
("Location: stranka.php"); exit;
?>


Odesláno z mého MT15i pomocí Tapatalk

Nevím, jestli je chyba na mojí straně, ale bohužel nevidím, to co jsi napsal.
Hlasuj v anketě, tam to snad uvidím.

Uz jsem to doplnil

Odesláno z mého MT15i pomocí Tapatalk

Ano, přesně tohle myslím, zatím nebudu prozrazovat správnost.

Tam není můj nejoblíbenější způsob:



Takhle se na ten web dostanou převážně lidé, kteří mají o to zájem

Ideální je nakombinovat všechny dohromady
ovšem až na konec, nejlépe bez parametrů.

Nejspíše to větší ohlas nebude mít, napíšu to, až přijdu ze školy, pokud tady budeš cz dříve, než já, tak to napiš za mě, díky.

Ok, neuvedl jsem zdaleka všechny možnosti, kterými by to šlo provést, nic méně to nemění nic na tom, že by script měl po přesměrování skončit, nebot přesměrování jde vypnout, at už lokálně nebo globálně pro všechny weby, představme si tedy, že máme web, kde se uživatel přihlásí a přesune ho to do administrace, co v případě, že uživatel jde rovnou k souboru, kde se nachází administrace? Je to snadné, každý z nás by postupoval následně, nejprve bychom si ověřili relaci scriptu(session) nebo koláček(cookie), v případě neshody nebo neinicializované či ne setnuté cookie/session bychom uživatele přesměrovali zpět na přihlašovací formulář. Představme si ale situaci, že uživatel má zakázané přesměrování, poté se nám snadno dostane do administrace a bude moci částečně editovat, záleží podle systému.

Jsou dvě možnosti, první z nich je ukončení scriptu po přesměrování, uživatele to přesměruje a v případě zakázaného přesměrování se script zastaví, to je první možnost. Druhá možnost je ta, že můžeme logiku systému jako je třeba edit/insert apod. vložit do podmínky, ve které bude něco ve stylu "if($_SESSION['test'])" a logika aplikace se provede pouze v případě, že je uživatel přihlášen.

To je ode mne vše, možná si říkáte, proč jsem to sem vložil, jde o to, že pár dnů zpátky jsem opravoval web a narazil jsem na stejný problém a není to poprvé, takových webů je x.

Dělá se to prvním způsobem.
Navíc chybí autorizace v tom případě

Nechybí autorizace, pokud se nepřihlásil, tak relace zůstane prázdná, pokud se přihlásil, tak do ní můžeme nacpat třeba id.

No, tak když nechybí tak proč může kdokoliv dělat cokoliv?