View previous topic :: View next topic |
Author |
Message |
silence
Joined: 24 Apr 2004 Posts: 890 Location: .....ni na nebu, ni na zemlji.....
|
Posted: 19.09.2004 13:49 Post subject: |
|
|
moj glavni razlog je što je session ipak sigurniji, pošto se sve varijable drže na serveru.
dalje netko ne mora prihvatiti cookie (ja racimo imam FireFox podešen da me pita za svaki cookie i 99% odbijem), dok kod sessiona, u slučaju da ti ne prihvatiš session cookie, server preko URLa prenosi vrijednost (PHPSESSID) sessiona.
također meni je recimo jednostavniji rad sa sessionom, možda zato kaj se nisam baš previše gnjavio oko cookie-a uopće....
tak bar ja to vidim..možda griješim.... |
_________________ This End-User License is an agreement between Microsoft Corporation (hereafter referred to as "Microsoft") and you, the end-user (hereafter referred to as "our bitch"). |
|
Back to top |
|
|
Sulien
Joined: 04 Jan 2004 Posts: 2905 Location: Zagreb
|
Posted: 19.09.2004 18:36 Post subject: |
|
|
silence wrote: | ...dalje netko ne mora prihvatiti cookie (ja racimo imam FireFox podešen da me pita za svaki cookie i 99% odbijem), dok kod sessiona, u slučaju da ti ne prihvatiš session cookie, server preko URLa prenosi vrijednost (PHPSESSID) sessiona... |
Postoji i mogućnost da se svi cookies blokiraju a session dozvole. To je OK. A postoji i URL. Ma na php.net je sve super napisano, samo treba čitucnut malo
Za prenošenje varijabli u php-u session IS A MUST
___
|
|
|
Back to top |
|
|
unique
Joined: 29 Mar 2004 Posts: 655
|
Posted: 19.09.2004 19:11 Post subject: |
|
|
ma imate pravo budem koristio session |
_________________ Activate interlock! Dynotherms connected! Infracells up! Mega thrusters are go! LET'S GO VOLTRON FORCE! |
|
Back to top |
|
|
silence
Joined: 24 Apr 2004 Posts: 890 Location: .....ni na nebu, ni na zemlji.....
|
Posted: 19.09.2004 22:39 Post subject: |
|
|
Sulien wrote: |
Postoji i mogućnost da se svi cookies blokiraju a session dozvole. To je OK. A postoji i URL. Ma na php.net je sve super napisano, samo treba čitucnut malo
Za prenošenje varijabli u php-u session IS A MUST
___
|
ma gle..neke cookie dozvolim, recimo od mi3-ja
nekak mi je prirodnije radit sa sessionom, kaj ja znam.
kad sam prvi put tražio tutoriale po netu, bilo mi je malo weird shvatit kaj i kam....ali kad jednom krene stvarno je super stvar za radit sa userima ili bilo čim na nekim webu.... |
_________________ This End-User License is an agreement between Microsoft Corporation (hereafter referred to as "Microsoft") and you, the end-user (hereafter referred to as "our bitch"). |
|
Back to top |
|
|
unique
Joined: 29 Mar 2004 Posts: 655
|
Posted: 25.09.2004 16:46 Post subject: |
|
|
što se tiče session -a
jel dovoljno stavit
Code: | $_SESSION['shit']="fuj";
$a = $_SESSION['shit'];
|
vidio sam negdje da treba session_start(); tak nešto, no ono radi i onak uglavnom jel ono dovoljno?? |
_________________ Activate interlock! Dynotherms connected! Infracells up! Mega thrusters are go! LET'S GO VOLTRON FORCE! |
|
Back to top |
|
|
_butch
Joined: 10 Sep 2003 Posts: 870 Location: Maichno, Krlovc
|
Posted: 25.09.2004 19:22 Post subject: |
|
|
trebas
Code: |
<?php
session_start();
$_SESSION['test'] = 'Icky yucky poo';
$test = $_SESSION['test'];
?>
|
dakle - session_start() moram biti na pocetku skripte (i prije head taga u html jerbo onda ti izbaci error.).
svi ti podaci koje ti assignas nekom sessionu se sejvaju u fajlic koji se zove isto ko i tvoj session (231839128z3192z8 recimo) , pod unixom u /tmp dir, a u win-u najcesce c:\windows\Temp, al ne mora biti.
i ti fajlici imaju svoj life time odredjeni, mislim da 40 min (sve dok ti session ne umre )
mislim da je to to.. ukratko.
onda si usas sessione do mile volje.
|
_________________ FRENCH GUARD: No chance, English bed-wetting types.
I burst my pimples at you and call your door-opening request a silly thing, you tiny-brained wipers of other people's bottoms! Flikrac |
|
Back to top |
|
|
unique
Joined: 29 Mar 2004 Posts: 655
|
Posted: 25.09.2004 21:43 Post subject: |
|
|
tenks zanimalo me jer sam u jednoj skripiti vidio da lik to ne koristi pa sam se pitao ...
e sad
radim log in bla i planirao sam spremit password kriptiran s md5 ( md5($a); ) u mysql bla uglavnom onda nemogu više vidjet koji je to pass spremljen jel tak? valjda je...
kaj još mogu koristit osim md5 k. ??? a? (da ima neki key npr. mmm($a, $key); )
kužite kaj želim reć ....
tenks again ... |
_________________ Activate interlock! Dynotherms connected! Infracells up! Mega thrusters are go! LET'S GO VOLTRON FORCE! |
|
Back to top |
|
|
_butch
Joined: 10 Sep 2003 Posts: 870 Location: Maichno, Krlovc
|
Posted: 26.09.2004 03:26 Post subject: |
|
|
pa i ne mozes vidjeti koji ti je pass.
_moras_ ga zapamtiti.
tako ti i phpBB usa md5 hash za passworde i svi ostali.
Zasto ? jer md5 nemos "dekriptirati".. pa ti je bolje onda to korisiti, malo sigurnije..
ja ti preporucujem md5.
imas base64_encode() i base64_decode, al ipak ti je to malo nesigurno jerbo se lako prepozna kad je nes sa base64 enkriptirano pa samo uzmes te podatke i deenkodiras ih i- voila - drugi imaju tvoje podatke.. |
_________________ FRENCH GUARD: No chance, English bed-wetting types.
I burst my pimples at you and call your door-opening request a silly thing, you tiny-brained wipers of other people's bottoms! Flikrac |
|
Back to top |
|
|
maxy
Joined: 07 Sep 2003 Posts: 894 Location: Zagreb
|
Posted: 26.09.2004 10:22 Post subject: |
|
|
unique wrote: | tenks zanimalo me jer sam u jednoj skripiti vidio da lik to ne koristi pa sam se pitao ...
e sad
radim log in bla i planirao sam spremit password kriptiran s md5 ( md5($a); ) u mysql bla uglavnom onda nemogu više vidjet koji je to pass spremljen jel tak? valjda je...
kaj još mogu koristit osim md5 k. ??? a? (da ima neki key npr. mmm($a, $key); )
kužite kaj želim reć ....
tenks again ... |
poanta spremanja passworda enkriptiranog sa md5 algoritmom je i privacy i security.
ako mislis da ce ti biti lakse onda spremi password u "obicnom" obliku ili malo prosnjofaj po netu o 2way crypting algoritmima.
inace, md5 se da probiti pa ako bas inzistiras na high securityu onda koristi sha1 umjesto md5. |
|
|
Back to top |
|
|
unique
Joined: 29 Mar 2004 Posts: 655
|
Posted: 26.09.2004 10:26 Post subject: |
|
|
da kužim ja to sve ali me zanimalo kak onda radi ono ... "plizzz zaboravio sam password dajte mi ga mejlnite ???"
koristi ću md5 a ako netko zaboravi pass pošaljem mu novi and that's it .... |
_________________ Activate interlock! Dynotherms connected! Infracells up! Mega thrusters are go! LET'S GO VOLTRON FORCE! |
|
Back to top |
|
|
_butch
Joined: 10 Sep 2003 Posts: 870 Location: Maichno, Krlovc
|
Posted: 26.09.2004 12:37 Post subject: |
|
|
maxy wrote: |
inace, md5 se da probiti pa ako bas inzistiras na high securityu onda koristi sha1 umjesto md5.
|
aha, we have a clue sherlock! el to ide na brute force forsiranje ili ima bas nes jednostavnije napisano da se razbije ?
unique wrote: |
da kužim ja to sve ali me zanimalo kak onda radi ono ... "plizzz zaboravio sam password dajte mi ga mejlnite ???"
|
a) das formu da uspise nick i mail, ak sve stima saljes novi random generirani pass na mail i ujedno updatas MySQL
b) ak si ikad se regao na hotmail ili bilogdje mozes dobiti one neko pitanje i odgovor i onda provjeravas i dolje sve isto ko u a) primjeru.
ovo a) rjesenje mi je jednostavnije i smao pogledaj uokolo po ostalim sajtovima/forumuma/skriptama i vidjet ces da je to najzastupljenije rjesenje. |
_________________ FRENCH GUARD: No chance, English bed-wetting types.
I burst my pimples at you and call your door-opening request a silly thing, you tiny-brained wipers of other people's bottoms! Flikrac |
|
Back to top |
|
|
maxy
Joined: 07 Sep 2003 Posts: 894 Location: Zagreb
|
Posted: 26.09.2004 13:08 Post subject: |
|
|
_butch wrote: |
aha, we have a clue sherlock! el to ide na brute force forsiranje ili ima bas nes jednostavnije napisano da se razbije ?
|
postoji word lista koja je enkriptirana sa md5 pa se prvo dani hash usporedjuje sa listom, a ako to propadne onda ide brute force.
dakle, imas par tisuca cesto koristenih rijeci za logine pa se to md5-a i onda se usporedi sa danim hashom. |
|
|
Back to top |
|
|
_butch
Joined: 10 Sep 2003 Posts: 870 Location: Maichno, Krlovc
|
Posted: 26.09.2004 13:28 Post subject: |
|
|
interesting.. |
_________________ FRENCH GUARD: No chance, English bed-wetting types.
I burst my pimples at you and call your door-opening request a silly thing, you tiny-brained wipers of other people's bottoms! Flikrac |
|
Back to top |
|
|
unique
Joined: 29 Mar 2004 Posts: 655
|
Posted: 26.09.2004 23:01 Post subject: |
|
|
maxy wrote: |
dakle, imas par tisuca cesto koristenih rijeci za logine pa se to md5-a i onda se usporedi sa danim hashom. |
da, ali to je glup, imat neku logičnu riječ za login ... a kolko bi trebalo na bforce način ako pass ima min. 8 znakova dosta that's for sure |
_________________ Activate interlock! Dynotherms connected! Infracells up! Mega thrusters are go! LET'S GO VOLTRON FORCE! |
|
Back to top |
|
|
maxy
Joined: 07 Sep 2003 Posts: 894 Location: Zagreb
|
Posted: 27.09.2004 06:31 Post subject: |
|
|
unique wrote: | da, ali to je glup, imat neku logičnu riječ za login ... a kolko bi trebalo na bforce način ako pass ima min. 8 znakova dosta that's for sure |
pricamo naravno sa teoretskog stajalista
za 8 znakova bi trebalo par tjedana ako se ne varam, ako se ne koristi word lista naravno.
naravno da je prakticki nemoguce ovom metodom bilo sta saznati, ali ako si paranoican -> sha1 |
|
|
Back to top |
|
|
unique
Joined: 29 Mar 2004 Posts: 655
|
Posted: 27.09.2004 10:33 Post subject: |
|
|
da razumijem
tenks |
_________________ Activate interlock! Dynotherms connected! Infracells up! Mega thrusters are go! LET'S GO VOLTRON FORCE! |
|
Back to top |
|
|
|