| |
|
|
| | if($_COOKIE['current_user']!="")
{
$user_query = mysql_query("SELECT * FROM users WHERE name='".safe_quote_var($_COOKIE['current_user'])."';");
if($user_query)
{
$user=mysql_fetch_array($user_query);
if(($user['power'] == 1) or ($user['power'] & 2 == 2) or ($user['power'] == 2))
{
Есть такая штука. Это проверка прав. НО! Она ведется с использованием куки, следовательно если злоумышленник, хацкер, шутник, дядя вася, сопрут куки, то они получают данные права, правильно?
Как мне этого избежать? Как изменить архитектуру куков? | |
| |
|
|
| |
|
|
| |
для: Whi-teOoS
(17.09.2006 в 15:22)
| | | Лучше зашифруйте данные, которые собираетесь класть в куки. И никакую архитектуру вам менять не прийдётся. | |
| |
|
|
| |
|
|
| |
для: Саня
(17.09.2006 в 15:37)
| | | или проверяйте ... если ip не изменился то всё ОК . А если изменился то пускай авторизовываются заново. Или хотябы если первые цифры ip неизменны .... | |
| |
|
|
| |
|
|
| |
для: Oligarx
(17.09.2006 в 15:41)
| | | Спасибо! =) | |
| |
|
|
