Zabezpieczenia, uwierzytelnianie osoby inne niż session id

**Drikam** · 07-06-2013, 12:32

Sesja swoją drogą, ale w niektórych przypadkach to jest za mało.
Tutaj chcę prosić o opinię rozwiązania, być może to jest oczywiste, być może nie, jednak możliwe, że przeoczyłem jakieś oczywiste rozwiązania.

Załóżmy, że mam link, który służy do usuwania wszystkich przedmiotów z ekwipunku.

Kod:

ekwipunek.php?akcja=wyrzuc

A teraz ktoś na forum da taki link, ktoś wejdzie i to już strata wielu przedmiotów.

Oczywiście można dodać id przedmiotów, co daje niesamowitą skuteczność, ale też nie całkowitą.

Kod:

ekwipunek.php?akcja=wyrzuc&id=2

Obecnie zrobiłem tak, że przy logowaniu generowany jest id oraz hash i jest zapisywany w sesji. Stąd mamy coś w stylu

Kod php:


$_SESSION['id'] = 2;
$_SESSION['hash'] = '12df3e'; 
define('LINK_HASHED, 'game.php?hash=' . $_SESSION['hash']);

I teraz to muszę dopisywać za każdym razem do linków:

Kod:

<a href="<? echo LINK_HASHED; ?>&strona=statystyki>Statystyki</a>

Zawsze pracuję sam przy swoich projektach, więc trzymam się jakichś własnych reguł, schematów, a może są błędne.
Pytam z ciekawości - czy takie rozwiązanie jest dobre, czy istnieje jakieś wygodniejsze, którego nie znam?

**Galathilion** · 07-06-2013, 13:38

Hm, jedyne wygodniejsze rozwiązanie, jakie przychodzi mi do głowy, to dodawanie ajaxem informacji, podczas klikania w linki. Powiedzmy, że ajax dodawałby zhashowaną nazwę strony przed jej otworzeniem, a w każdym pliku miałbyś na początku if'a, który ostrzegałby użytkownika o otworzeniu linka z zewnątrz.
Tylko, z drugiej strony, takie rozwiązanie byłoby bardziej niebezpieczne, no i wymagałoby przemodelowania linków.

**Drikam** · 07-06-2013, 13:56

Na pewno jest to jakiś sposób.. Podoba mi się myśl o ostrzeżeniu.. Do tej pory przekierowałem na stronę główną, ale takie coś jest na pewno miłym dodatkiem niż wykopywanie ludzi.

**karer** · 07-06-2013, 14:01

W branzy tworzenia stron uzywamy czegos takieog jak POST. W pelni zabezpiecza skrypt przed tego typu problemem.

**Drikam** · 07-06-2013, 14:38

W sumie dość oczywisty sposób i masz rację.

Takie rozwiązanie lub podobne..

Kod:

            <form action="game.php?mod=equipment&action=drop" method="post">
                <input type="hidden" name="itemID" value ="23">
                <a href="#" onclick="parentNode.submit();">Wyrzuć przedmiot</a>
            </form>

**karer** · 07-06-2013, 14:44

Po co laczyc te sposoby? Na pewno nie w takim celu jaki chcesz osiagnac. Zasada sie przyjela taka, ze linkiem nie wykonujemy akcji, a jedynie pzenosimy do konkretnego widoku. Akcje wykonujemy formularzami i metoda POST.

**Drikam** · 07-06-2013, 14:48

Tak, masz rację. Zrobiłem sobie problem z niczego. : )

**Aravorn** · 07-06-2013, 17:07

Jak napisał karer: na ataki CRSF przesłanie danych POSTem powinno wystarczyć

ale.. no zależy jak to zbudujesz, bo teoretycznie może i nie wystarczyć.. dlatego też warto dodatkowo przesyłać jakąś krótką informację ukrytym polem, np. hash 3-4 znakowy dla danej sesji. To w pełni wyeliminuje problem.

**Klaus Korner** · 26-06-2013, 22:03

Wysyłanie formularzy za pomocą POST + dołączanie id generowanych podczas wyświetlania strony i ich zapamiętywanie w sesji. To jest najbezpieczniejsze rozwiązanie, aczkolwiek strasznie upierdliwe.