session و login كاربران

Printable View

نمايش 40 تاپيکها در يک صفحه

30-08-2008, 14:49
David.Jn

session و login كاربران

سلام
میخواستم نظرات دیگران را در این موارد بدونم

1-من تو سیستم لاگینم وقتی کاربری لاگین میشه دو تا سشن بهش اختصاص میدم یکی برای مشخص نمودن وضعیت کاربر که آیا لاگین شده یا نه و یکی دیگه هم نام کاربری رو توش نگه میداره.
حالا میخواستم بدونم نگه داشتن نام کاربری در داخل سشن از نظر امنیت چطوره؟
ضمنآ اینم بگم من با سشنی که نام کاربری توش قرار داره خیلی کار دارم .مثلآ برای ثبت نظرات(دیگه لازم نیست کاربر نام و ایمیل خودش را بده از طریق همین سشن یه query از بانک میگیرم و ذخیره می کنم).
حالا به نظرتون روشی امنتر وجود داره؟یا همین روش خوبه.
خودم یه روش دیگه به نظرم رسید که id کاربر را تو سشن ذخیره کنم ولی به نظرم زیاد فرق نکنه.

2-ادمین هم از همون صفحه ای که دیگران لاگین میشن لاگین میشه و یه سشن بر حسب نام کاربیش بهش اختصاص داده میشه.
حالا من اومدم تویه هر صفحه ای که فقط ادمین میتونه مشاهده کنه یه شرط گزاشتم که اگه محتوای سشن کاربری برابر بود با فلان چیز بتونه صفحه را ببینه در غیر اینصورت یه پیغام بهش داده بشه.

این چطور از نظر امنیت در چه وضعی؟
راه دیگه ای به نظرتون میرسه برای نمایش دادن صفحات مخصوص ادمین؟

3-روشی که تو قسمت دوم گفتم به نظرم زیاد منطقی نیست چون شاید من بخوام 10تا ادمین داشته باشم و یه ادمین ارشد. اونوقت باید برای همشون یه شرط بزارم دیگه.
حالا شاید بعضیا بگن خوب برای 10 تاشون کد معمولیه مثل هم ه ولی برای ادمین ارشد باید یه کد دیگه بزاری.
بله درسته ولی فرض کنید 10 تا ادمین هم با سطوح دسترسی مختلف باشن .
شما چه روشی پیشنهاد میکنین.
30-08-2008, 15:05
pezhman32

سلام
سشن ها تا جایی که من اطلاع دارم تقریبا" از نظر امنیتی مشکلی ندارن و امنیتشون غیر قابل مقایسه با امنیت کوکی هاست, اما بهتر داده هاتون در سشن ها کد شده باشن
30-08-2008, 15:33
David.Jn

نقل قول:

سشن ها تا جایی که من اطلاع دارم تقریبا" از نظر امنیتی مشکلی ندارن و امنیتشون غیر قابل مقایسه با امنیت کوکی هاست

برمنکرش لعنت!!!!

من از ترس حملات Xss گفتم

نقل قول:

بهتر داده هاتون در سشن ها کد شده باشن

از چه تابعی واسه کد کردن سشن استفاده کنم؟ (چون توابع زیادی واسه کد کردن وجود داره).
آیا تابعی مجزا واسه کد کردن سشن وجود داره؟

در مورد قسمت دوم و سوم نظری ندارین؟
30-08-2008, 16:18
pezhman32

نقل قول:

نوشته شده توسط zibatarin nam [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

برمنکرش لعنت!!!!

من از ترس حملات Xss گفتم

از چه تابعی واسه کد کردن سشن استفاده کنم؟ (چون توابع زیادی واسه کد کردن وجود داره).
آیا تابعی مجزا واسه کد کردن سشن وجود داره؟

در مورد قسمت دوم و سوم نظری ندارین؟

راستش من برای کد کردن در این مواقع از md5 استفاده می کنم و مثلا" نام کاربری تمام افراد رو از بانک اطلاعاتیم به صورت یه حلقه می گیرم و نام کاربری و چیزای دیگشو که لازم باشه رو با md5 کد می کنم و با اونی که توی سشن هست مقایسه می کنم (چون md5 دیکد نمیشه)
بهتره مثلا" برای مدیر ارشدتون مثلا" کد 1 و مدیر معمولیتون کد 2 و .. و کاربر معمولی کد 3 و افراد غیر عضو کد 4 رو در نظر بگیرید و در بالا ی هر صفحه یه اسکریپت اینکلود کنید که نام کاربری شخص رو چک کنه و یکی از این اعداد رو که در بانک اطلاعاتیتون ذخیره شده در دسترس اسکریپت مادر بزاره مثلا در اسکریپت اینکلود شده یه تابع یا کلاس قرار بدین و خروجی اون هم یک آرایه مثل زیر باشه:
[php]<?PHP
$_USER = array (
'username' => 'pezhman32', //if not logged in this must be NULL
'log' => '1', //0 == not logged in && 1 == logged in
'permission' => '1', //1 == admin && 2 == moderator && 3 == user && 4 == not logged in (4th one is not nessesary, if not logged in this must be NULL)
);
?>[/php]
01-09-2008, 21:29
MAXXX

من معمولا برایه ادمین صفحه هایه جدا طراحی میکنم
شاید به نظر سخت و اضافه کاری بیاد ولی اگه از دریم ویور و تمپلیت و دیتابیس استفاده بشه خیلی سادست و ساختن تمام صفحات ادمین نیم ساعت هم وقت نمیبره
04-09-2008, 14:14
ahmadirad1365

نقل قول:

نوشته شده توسط zibatarin nam [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

سلام
میخواستم نظرات دیگران را در این موارد بدونم

1-من تو سیستم لاگینم وقتی کاربری لاگین میشه دو تا سشن بهش اختصاص میدم یکی برای مشخص نمودن وضعیت کاربر که آیا لاگین شده یا نه و یکی دیگه هم نام کاربری رو توش نگه میداره.
حالا میخواستم بدونم نگه داشتن نام کاربری در داخل سشن از نظر امنیت چطوره؟
ضمنآ اینم بگم من با سشنی که نام کاربری توش قرار داره خیلی کار دارم .مثلآ برای ثبت نظرات(دیگه لازم نیست کاربر نام و ایمیل خودش را بده از طریق همین سشن یه query از بانک میگیرم و ذخیره می کنم).
حالا به نظرتون روشی امنتر وجود داره؟یا همین روش خوبه.
خودم یه روش دیگه به نظرم رسید که id کاربر را تو سشن ذخیره کنم ولی به نظرم زیاد فرق نکنه.

2-ادمین هم از همون صفحه ای که دیگران لاگین میشن لاگین میشه و یه سشن بر حسب نام کاربیش بهش اختصاص داده میشه.
حالا من اومدم تویه هر صفحه ای که فقط ادمین میتونه مشاهده کنه یه شرط گزاشتم که اگه محتوای سشن کاربری برابر بود با فلان چیز بتونه صفحه را ببینه در غیر اینصورت یه پیغام بهش داده بشه.

این چطور از نظر امنیت در چه وضعی؟
راه دیگه ای به نظرتون میرسه برای نمایش دادن صفحات مخصوص ادمین؟

3-روشی که تو قسمت دوم گفتم به نظرم زیاد منطقی نیست چون شاید من بخوام 10تا ادمین داشته باشم و یه ادمین ارشد. اونوقت باید برای همشون یه شرط بزارم دیگه.
حالا شاید بعضیا بگن خوب برای 10 تاشون کد معمولیه مثل هم ه ولی برای ادمین ارشد باید یه کد دیگه بزاری.
بله درسته ولی فرض کنید 10 تا ادمین هم با سطوح دسترسی مختلف باشن .
شما چه روشی پیشنهاد میکنین.

:8:دوست عزیز شما برای به نتیجه رسیدن از یک منطق نا معقول دارید استفاده میکنید
چون حوصله نوشتن زیاد هم ندارم فقط بگم در C#.net 2005 برای رسیدن به حدف شما با نهایت امنیت فقط چند کلیک و کمتر از چند خط کد نویسی بیشتر لازم نیست.
اگر شما این کار رو با منطقی که دارید زیر بار ترافیک بگذارید مطمئن باشید سایت شدیدا با مشکل مواجه میشود به طور مثال در سایت acmt.ac.ir در هنگام ثبت نام ترم جدید همواره مشکل وصل شدن به پنل دانشجویی وجود دارد چون به صورت مفرط از سشن و کد نویسی زیاد برای راهی ساده استفاده شده است:27:
04-09-2008, 17:50
David.Jn

نقل قول:

اگر شما این کار رو با منطقی که دارید زیر بار ترافیک بگذارید مطمئن باشید سایت شدیدا با مشکل مواجه میشود به طور مثال در سایت acmt.ac.ir در هنگام ثبت نام ترم جدید همواره مشکل وصل شدن به پنل دانشجویی وجود دارد چون به صورت مفرط از سشن و کد نویسی زیاد برای راهی ساده استفاده شده است [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

سلام
ممنون
ولی انگار متوجه نشدید من دارم با php کد می نویسم تو اینجا که ابزار Net. وجود نداره.

اساتید بزرگ php کم لطف شدن نمیان نظر بدن.
04-09-2008, 23:32
neopersia

در مورد سوال اول به نظر من بهتره فقط id کاربر رو نگه داری و همه رکوردها رو بر اساس id بنویسی.
بهتره دسترسی ها رو بر اساس گروه کاربری انجام بدی. اینجوری خیلی از مشکلات حل میشه. یعنی همون اول که کاربر لوگین میشه گروه کاربریشو به دست بیاری بعد بر اساس اون اجازه مشاهده صفحات رو بهش بدی. حالا میتونه مدیر باشه یا مدیر ارشد یا کاربر ویژه یا کاربر مجانی.

یه پیشنهاد هم دارم اونم استفاده از روش شیء گرا هست. من که دیگه اصلاً نمیتونم از کلاسها دل بکنم!
مثلاً همین قضیه کاربرها رو میشه با یک کلاس factory راحت حل کرد.
06-09-2008, 11:40
ahmadirad1365

نقل قول:

نوشته شده توسط zibatarin nam [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

سلام
ممنون
ولی انگار متوجه نشدید من دارم با php کد می نویسم تو اینجا که ابزار Net. وجود نداره.

اساتید بزرگ php کم لطف شدن نمیان نظر بدن.

سلام
من زیاد با php کار نکردم اما شما هم مثل هر اپلیکیشن متعارف دیگه میتونی در دیتابیس یک جدول مخصوص رخدادهای هر کاربر درست کنید و توش اطلاعاتی رو که بشه با اونا کاربر را مدیریت کرد ذخیره کنی بعد با استفاده از چند کد سراری که لزومی هم نداره کد php باشه (با خود دستورات sql شرطی) کاربر رو هدایت و برای اعمال رفتارش کد مربوطه رو بنویسی
دقیقا این کا رو بیشتر cms هایی که با php نوشته شده اند انجام داده اند به طور مثال به دیتابیس همین vBulletin توجه کنید.
در ضمن در هر زبان برنامه نویسی ای در صورتی که برای سشن های تعریف شده "رل" (به اصطلاح خودم!) درست حسابی ای ایجاد نکنید به 5 روش کلی میشود از این سشنها استفاده نمود.
برای اطلاعات بیشتر میتوانید به مقاله ای که در مجله وب منتشر شده است رجوع کنید
06-09-2008, 17:55
hadi_joulaee

من کاملا با نظر neopersia موافقم .
فقط id رو داخل یه سشن نگه داریم و بعدش permission هر کاربر رو از جدول مشخصات کاربران واکشی کنیم و محدودیت هارو طبق permission هر کاربر اعمال کنیم.

نمايش 40 تاپيکها در يک صفحه