Действительно ли печенье редактируемое?

На моей веб-странице я использую печенье, это установлено в 1 , если они - администратор

0 if they're not

таким образом, у администраторов может быть доступ к определенным особенностям,

как трудно это было бы для кого-то, чтобы превратить 0 в 1 в их местном печенье, если бы они хотели?

3
nl ja de
печенье съедобно; поучайте себя на безопасности, хотя (и используют crypto-PRNG-strong иды сессии, таким образом, ценности не могут быть предсказаны),
добавлено автор sehe, источник
Они уверенный, видят [Я могу изменить или добавить печенье из JavaScript?] [1] [1]: stackoverflow.com/questions/1704991/…
добавлено автор Marc, источник
Быстрый поиск на Google дал бы вам ответ.
добавлено автор Joshua, источник

3 ответы

Cookies live on the client-side, so of course they are editable. Like everything else that comes from the client, cookies cannot be assumed secure, ever. It would be very easy for someone to make themself an admin using your design.

Не будьте ленивы; сохраните привилегии на серверной стороне и только на серверной стороне.

4
добавлено
"может кто-то создавать печенье, если они хотят из ничего" да! "действительно ли я в безопасности теперь от людей, делающих себя администратор?" нет!
добавлено автор Matt Ball, источник
It' s не примерно использование сессии. Где-нибудь на сервере – базе данных, текстовом файле, безотносительно – необходимо хранить информацию, которая определяет, является ли пользователь администратором. У вас есть какой-либо вид системы логина? Как вы определяете, действителен ли ряд верительных грамот (username+password)?
добавлено автор Matt Ball, источник
Осуществленный правильно, единственной вещью, сохраненной в печенье, является трудный к предположению идентификатор сессии; ничто больше. Большое чтение здесь: stackoverflow.com/search? q=php+session+best+practices
добавлено автор Matt Ball, источник
Там вы идете! Все, что необходимо сделать, проверить ценность флага администратора на серверной стороне, определяя доступ к особенностям только для администратора.
добавлено автор Matt Ball, источник
That' s целая другая куча проблем и I' m действительно не PHP dev. Необходимо, вероятно, отправить отдельный вопрос. Если у вас было немного больше представителя I' d говорят, расспрашивают тут и там в беседе...
добавлено автор Matt Ball, источник
В моем login.php я использую $ _SESSION [' user_id'] = $row [' id']; $ _SESSION [' username'] = $row [' username']; $ _SESSION [' admin'] = $row [' admin']; но я can' t, кажется, сохраняют пользователя вошедшим, I' m использующий session_start() я don' t действительно знают, что еще сделать @MattBall
добавлено автор Gacnt, источник
I' ll возвращаются через мой главный первый PHP, & MySQL заказывают и понимают, что он, спасибо за помощь, никогда не понимал, как опасное печенье было после чтения вокруг испуганного самостоятельно, видя сколько слабых мест, там находятся в печенье, и sql вводит только doesn' t магазин сессии печенье сам?
добавлено автор Gacnt, источник
Да I' m использование базы данных MySQL, с флагом администратора 0 или 1, у меня есть полностью функциональная система активации логина/регистрации/электронной почты, продолжающаяся, который связывается с моим MySQL DB, это - мой первый реальный проект просто вид тестирования моего знания, но меня don' t действительно понимают $ _SESSION так же, таким образом, I' m оказывающийся перед необходимостью прочитанный немного @MattBall
добавлено автор Gacnt, источник
оказывается, что я полностью понял $ _SESSIONS для начала, я просто забыл isset() на моем основном, если заявление ха-ха, все работает теперь только с 1 печеньем, ID сессии, но от какой I' ve googled, если я отключаю это, я должен передать ID сессии через $ _GET заявления, который невероятно неуверен, таким образом, я предполагаю you' ре прокляло, если вы делаете, и проклятый если вы don' t.. О, хорошо, по крайней мере этот способ, которым я могу истечь сессия после 1 часа (если они остаются, загрузился, что долго), а также user_id, имя пользователя и флаг администратора - not' t печенье @MattBall
добавлено автор Gacnt, источник
Damnit, похож, я должен пересмотреть все, прежде чем я начну свою страницу:) Спасибо за быстрый ответ I' m просто не 100%, уверенных в том, как использовать $ _Session, $ _cookie был настолько более легким I' ll отмечают вас как ответ через 6 минут, когда я могу @MattBall
добавлено автор Gacnt, источник
Что вы предложили бы? Я сейчас сделал его поэтому только людьми, которые являются администраторами, получают печенье во-первых (в основном только являющийся мной в этом пункте), кто-то может создать печенье, если они хотят из ничего, или действительно ли я в безопасности теперь от людей, делающих себя администратор? Что вы предложили бы вместо этого? Я только выделяю 2 печенья кому-либо теперь (был 3 включая администратора, но не больше), который является user_id и именем пользователя
добавлено автор Gacnt, источник

Редактирование печенья легко.

, Но это, что вы действительно имели в виду?

Переменные сеанса сохранены на сервере и таким образом не могут быть изменены клиентом. Клиент только хранит ID, который обращается к сессии.

1
добавлено
Кроме того, ID сессии "типично тверды" думаю так, в сочетании с проверкой IP, успешные налеты сессии фактически неслыханны.
добавлено автор Lightness Races in Orbit, источник
@nf071590: Перехват сеанса, как правило, предотвращается, делая IP, проверяют конец сервера, но да там абсолютно сценарии, где можно сделать это. Всего два примера: (a) опасный веб-сайт; (b) сессия вы хотите угнать, принадлежит человеку, использующему тот же самый IP WAN в качестве вас. Рассмотрите Интернет café например, хотя you' d нужен доступ к вашему target' s ноутбук довольно долго, чтобы искать и копировать их ID сессии.;) Честно, можно сделать это, если они оставляют свой ноутбук в течение перерыва на туалет, но тогда, возможно, они заслуживают Связывания that' s прибывающий к ним.
добавлено автор Lightness Races in Orbit, источник
Кто-то может тогда взломать ID сессии и получить доступ к различной сессии?
добавлено автор nf071590, источник

На самом деле довольно легко отредактировать печенье. Расширения, такие как хром редактируют это печенье, позволяют, чтобы он был сделан, даже не оставляя браузер. Я использую это для простых вещей как веб-отслеживание на бумажных территориях новостей, которые ограничивают сумму статей, которые можно рассмотреть. Я перезагрузил количество печенья и вуаля, я в состоянии рассмотреть больше статей.

Google редактирует это печенье, если вы хотите к демонстрационному примеру его и применяете его к вашему сайту.

1
добавлено
Вы don' t даже нужно расширение, чтобы отредактировать печенье в Хроме или любой другой современный браузер. Встроенные инструменты разработчика позволяют вам сделать это.
добавлено автор Matt Ball, источник
phpGeeks
phpGeeks
3 620 участник(ов)

Best PHP chat Еще: @dbGeeks - базы данных @phpGeeksJunior - новичкам @moscowProgers - IT Москва @ebanoePhp - весёлый канал о PHP @laravel_pro - Laravel @jobGeeks - вакансии @jsChat - JS Правила: https://t.me/phpGeeks/764859 ДР - 28.03.2016

Верстка сайтов HTML/CSS/JS/PHP
Верстка сайтов HTML/CSS/JS/PHP
3 439 участник(ов)

Правила группы: напишите !rules в чате. Группа Вк: vk.com/web_structure Freelancer: @web_fl Веб Дизайн: @dev_design Маркетолог: @topmarkening Автор: @M_Boroda

PHP
PHP
1 309 участник(ов)

Группа про современный PHP. Обсуждаем ООП, TDD, BDD, DDD, SOLID, GRASP и прочие крутые базворды Для ознакомления: https://gist.github.com/mkusher/711bd46f0b62fbae851182e6fb3b1839 Группа PHP для новичков @phpGeeksJunior Вакансии: https://t.me/fordev

PHP — вакансии, поиск работы и аналитика
PHP — вакансии, поиск работы и аналитика
1 251 участник(ов)

Публикуем вакансии и запросы на поиск работы по направлению PHP, Laravel, Symfony, Yii и т.д. Здесь всё: full-time, part-time, remote и разовые подработки. См. также: @qa_jobs, @devops_jobs, @javascript_jobs, @nodejs_jobs, @uiux_jobs, @products_jobs

Чат — Типичный Верстальщик
Чат — Типичный Верстальщик
1 080 участник(ов)

Основной канал: @tpverstak Обратная связь: @annblok Все ссылки на соц.сети проекта: http://taplink.cc/tpverstak ПРАВИЛА ЧАТА — https://teletype.in/@annblok/BygPgC3E7

phpGeeksJunior
phpGeeksJunior
980 участник(ов)

Группа для новичков. Не стесняйтесь задавать вопросы по php. Не флудить!!!! Правила и полезные ссылки https://gist.github.com/exileed/a53dd0617b35a705ff44b38c8028e6a5 Бест от пхпгикс https://t.me/best_of_phpgeeks

phpclub.ru
phpclub.ru
872 участник(ов)

Официальный чат phpclub.ru - остерегайтесь подделок #rules Правила группы - уважайте друг друга. Скриншоты -> ссылками. Код -> pastebin.com. Вакансии строго -> https://goo.gl/4bNxym, в чат ссылку. За рекламу и мат - БАН!

Devall | PHP
Devall | PHP
272 участник(ов)

Пристанище для восходящих звёзд разработки, которые перейдут на более адекватные языки. http://combot.org/chat/-1001014863761 Инвайт: j.mp/devallphp

Веб-Технологи: UI/UX, Вёрстка, Фронтенд
Веб-Технологи: UI/UX, Вёрстка, Фронтенд
167 участник(ов)

Всё про веб-дизайн и вёрстку. А также: HTML, CSS, флекс и бутстрапы, шаблонизаторы, препроцессоры, методологии, аглифаеры, улучшаторы и обфускаторы. Обсуждаем темы юзабилити, устраиваем А/В тесты лендингов, и проводим аудит.

DTP :: @DTPublish
DTP :: @DTPublish
147 участник(ов)

Обсуждаемые темы: полиграфия, препресс, верстка, дизайн, иллюстрации, скрипты, плагины. Канал - @DTPublishing