[ mxxm @ 25.11.2012. 16:47 ] @
| Code (php):
$session_user_id = $_SESSION['user_id'];
if (isset($_COOKIE['ime_sajta'])) {
$session_user_id = $_COOKIE['ime_sajta'];
}
'user_id' i 'ime sajta' imaju iste vrednosti i odredjuju korisnika koji je ulogovan. |
[ plus_minus @ 25.11.2012. 16:54 ] @
Hoćeš ustvari da pitaš da li $session_user_id menja vrednost ako je kuki setovan i nije prazan?
Code (php):
if( isset($_COOKIE['ime_sajta']) && !empty($_COOKIE['ime_sajta']) )
Kuki može biti i setovan ali prazan.
I pitanje je koja sve pravila postavljaš za kolačiće, onda kada ih setuješ.
[ mxxm @ 25.11.2012. 18:15 ] @
Cookie sadrzi samo id broj koji jednoznacno oznacava korisnika. mogu malo kasnije da zakomplikujem stvar da to bude random broj ali ovo mi je osnova.
jer kasnije ide kod :
$user_data = user_data($session_user_id, 'user_id', 'username', 'password', 'first_name', 'last_name', 'email', 'email_code');
[ Milos911 @ 25.11.2012. 20:06 ] @
Nije dobro...
Ne znam sta radis u funkciji user_data(), ali kako uopste radis validaciju da li je to taj korisnik? Mislim, sta mene sprecava da u kolacic upisem x user id, i onda se ulogujem kao neki drugi korisnik?
+ ne vidim da li proveravas negde da li je ovaj session_user_id ustvari broj ili sta vec (tj moguc je mysql injection...)..
Uglavnom, kreiras tabelu u bazi u koju kad se korisnik uloguje upises random string + korisnikov id. Taj random string cuvas u kukiju. Podatke o korisniku kesiras u sesiji, a umesto ove provere na pocetku da li je kuki setovan radis proveru da li su podaci u sesiji, pa ako nisi ti ih onda opet apdejtujes pomocu stringa iz kukija...
[ mxxm @ 25.11.2012. 21:21 ] @
u funkciji user_data() se na osnovu $sesion_user_id skuplajju podaci iz baze i kasnije koriste gde treba.
Skoro sam napravio jednu funkciju koja korisnikov id cuva negde u stringu, tako da ne moze da se provali koji je user_id,s tim sto je i string od 32 simbola i random, ali ne mogu sad da je nadjem.
Copyright (C) 2001-2024 by www.elitesecurity.org. All rights reserved.