session و login كاربران

**David.Jn** · 30-08-2008, 14:49

سلام
میخواستم نظرات دیگران را در این موارد بدونم

1-من تو سیستم لاگینم وقتی کاربری لاگین میشه دو تا سشن بهش اختصاص میدم یکی برای مشخص نمودن وضعیت کاربر که آیا لاگین شده یا نه و یکی دیگه هم نام کاربری رو توش نگه میداره.
حالا میخواستم بدونم نگه داشتن نام کاربری در داخل سشن از نظر امنیت چطوره؟
ضمنآ اینم بگم من با سشنی که نام کاربری توش قرار داره خیلی کار دارم .مثلآ برای ثبت نظرات(دیگه لازم نیست کاربر نام و ایمیل خودش را بده از طریق همین سشن یه query از بانک میگیرم و ذخیره می کنم).
حالا به نظرتون روشی امنتر وجود داره؟یا همین روش خوبه.
خودم یه روش دیگه به نظرم رسید که id کاربر را تو سشن ذخیره کنم ولی به نظرم زیاد فرق نکنه.

2-ادمین هم از همون صفحه ای که دیگران لاگین میشن لاگین میشه و یه سشن بر حسب نام کاربیش بهش اختصاص داده میشه.
حالا من اومدم تویه هر صفحه ای که فقط ادمین میتونه مشاهده کنه یه شرط گزاشتم که اگه محتوای سشن کاربری برابر بود با فلان چیز بتونه صفحه را ببینه در غیر اینصورت یه پیغام بهش داده بشه.

این چطور از نظر امنیت در چه وضعی؟
راه دیگه ای به نظرتون میرسه برای نمایش دادن صفحات مخصوص ادمین؟

3-روشی که تو قسمت دوم گفتم به نظرم زیاد منطقی نیست چون شاید من بخوام 10تا ادمین داشته باشم و یه ادمین ارشد. اونوقت باید برای همشون یه شرط بزارم دیگه.
حالا شاید بعضیا بگن خوب برای 10 تاشون کد معمولیه مثل هم ه ولی برای ادمین ارشد باید یه کد دیگه بزاری.
بله درسته ولی فرض کنید 10 تا ادمین هم با سطوح دسترسی مختلف باشن .
شما چه روشی پیشنهاد میکنین.

**pezhman32** · 30-08-2008, 15:05

سلام
سشن ها تا جایی که من اطلاع دارم تقریبا" از نظر امنیتی مشکلی ندارن و امنیتشون غیر قابل مقایسه با امنیت کوکی هاست, اما بهتر داده هاتون در سشن ها کد شده باشن

**David.Jn** · 30-08-2008, 15:33

سشن ها تا جایی که من اطلاع دارم تقریبا" از نظر امنیتی مشکلی ندارن و امنیتشون غیر قابل مقایسه با امنیت کوکی هاست

برمنکرش لعنت!!!!

من از ترس حملات Xss گفتم

بهتر داده هاتون در سشن ها کد شده باشن

از چه تابعی واسه کد کردن سشن استفاده کنم؟ (چون توابع زیادی واسه کد کردن وجود داره).
آیا تابعی مجزا واسه کد کردن سشن وجود داره؟

در مورد قسمت دوم و سوم نظری ندارین؟

**pezhman32** · 30-08-2008, 16:18

نوشته شده توسط zibatarin nam [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

برمنکرش لعنت!!!!

من از ترس حملات Xss گفتم

از چه تابعی واسه کد کردن سشن استفاده کنم؟ (چون توابع زیادی واسه کد کردن وجود داره).
آیا تابعی مجزا واسه کد کردن سشن وجود داره؟

در مورد قسمت دوم و سوم نظری ندارین؟

راستش من برای کد کردن در این مواقع از md5 استفاده می کنم و مثلا" نام کاربری تمام افراد رو از بانک اطلاعاتیم به صورت یه حلقه می گیرم و نام کاربری و چیزای دیگشو که لازم باشه رو با md5 کد می کنم و با اونی که توی سشن هست مقایسه می کنم (چون md5 دیکد نمیشه)
بهتره مثلا" برای مدیر ارشدتون مثلا" کد 1 و مدیر معمولیتون کد 2 و .. و کاربر معمولی کد 3 و افراد غیر عضو کد 4 رو در نظر بگیرید و در بالا ی هر صفحه یه اسکریپت اینکلود کنید که نام کاربری شخص رو چک کنه و یکی از این اعداد رو که در بانک اطلاعاتیتون ذخیره شده در دسترس اسکریپت مادر بزاره مثلا در اسکریپت اینکلود شده یه تابع یا کلاس قرار بدین و خروجی اون هم یک آرایه مثل زیر باشه:

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

**MAXXX** · 01-09-2008, 21:29

من معمولا برایه ادمین صفحه هایه جدا طراحی میکنم
شاید به نظر سخت و اضافه کاری بیاد ولی اگه از دریم ویور و تمپلیت و دیتابیس استفاده بشه خیلی سادست و ساختن تمام صفحات ادمین نیم ساعت هم وقت نمیبره

**ahmadirad1365** · 04-09-2008, 14:14

نوشته شده توسط zibatarin nam [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

سلام
میخواستم نظرات دیگران را در این موارد بدونم

1-من تو سیستم لاگینم وقتی کاربری لاگین میشه دو تا سشن بهش اختصاص میدم یکی برای مشخص نمودن وضعیت کاربر که آیا لاگین شده یا نه و یکی دیگه هم نام کاربری رو توش نگه میداره.
حالا میخواستم بدونم نگه داشتن نام کاربری در داخل سشن از نظر امنیت چطوره؟
ضمنآ اینم بگم من با سشنی که نام کاربری توش قرار داره خیلی کار دارم .مثلآ برای ثبت نظرات(دیگه لازم نیست کاربر نام و ایمیل خودش را بده از طریق همین سشن یه query از بانک میگیرم و ذخیره می کنم).
حالا به نظرتون روشی امنتر وجود داره؟یا همین روش خوبه.
خودم یه روش دیگه به نظرم رسید که id کاربر را تو سشن ذخیره کنم ولی به نظرم زیاد فرق نکنه.

2-ادمین هم از همون صفحه ای که دیگران لاگین میشن لاگین میشه و یه سشن بر حسب نام کاربیش بهش اختصاص داده میشه.
حالا من اومدم تویه هر صفحه ای که فقط ادمین میتونه مشاهده کنه یه شرط گزاشتم که اگه محتوای سشن کاربری برابر بود با فلان چیز بتونه صفحه را ببینه در غیر اینصورت یه پیغام بهش داده بشه.

این چطور از نظر امنیت در چه وضعی؟
راه دیگه ای به نظرتون میرسه برای نمایش دادن صفحات مخصوص ادمین؟

3-روشی که تو قسمت دوم گفتم به نظرم زیاد منطقی نیست چون شاید من بخوام 10تا ادمین داشته باشم و یه ادمین ارشد. اونوقت باید برای همشون یه شرط بزارم دیگه.
حالا شاید بعضیا بگن خوب برای 10 تاشون کد معمولیه مثل هم ه ولی برای ادمین ارشد باید یه کد دیگه بزاری.
بله درسته ولی فرض کنید 10 تا ادمین هم با سطوح دسترسی مختلف باشن .
شما چه روشی پیشنهاد میکنین.

دوست عزیز شما برای به نتیجه رسیدن از یک منطق نا معقول دارید استفاده میکنید
چون حوصله نوشتن زیاد هم ندارم فقط بگم در C#.net 2005 برای رسیدن به حدف شما با نهایت امنیت فقط چند کلیک و کمتر از چند خط کد نویسی بیشتر لازم نیست.
اگر شما این کار رو با منطقی که دارید زیر بار ترافیک بگذارید مطمئن باشید سایت شدیدا با مشکل مواجه میشود به طور مثال در سایت acmt.ac.ir در هنگام ثبت نام ترم جدید همواره مشکل وصل شدن به پنل دانشجویی وجود دارد چون به صورت مفرط از سشن و کد نویسی زیاد برای راهی ساده استفاده شده است

**David.Jn** · 04-09-2008, 17:50

اگر شما این کار رو با منطقی که دارید زیر بار ترافیک بگذارید مطمئن باشید سایت شدیدا با مشکل مواجه میشود به طور مثال در سایت acmt.ac.ir در هنگام ثبت نام ترم جدید همواره مشکل وصل شدن به پنل دانشجویی وجود دارد چون به صورت مفرط از سشن و کد نویسی زیاد برای راهی ساده استفاده شده است

سلام
ممنون
ولی انگار متوجه نشدید من دارم با php کد می نویسم تو اینجا که ابزار Net. وجود نداره.

اساتید بزرگ php کم لطف شدن نمیان نظر بدن.

**neopersia** · 04-09-2008, 23:32

در مورد سوال اول به نظر من بهتره فقط id کاربر رو نگه داری و همه رکوردها رو بر اساس id بنویسی.
بهتره دسترسی ها رو بر اساس گروه کاربری انجام بدی. اینجوری خیلی از مشکلات حل میشه. یعنی همون اول که کاربر لوگین میشه گروه کاربریشو به دست بیاری بعد بر اساس اون اجازه مشاهده صفحات رو بهش بدی. حالا میتونه مدیر باشه یا مدیر ارشد یا کاربر ویژه یا کاربر مجانی.

یه پیشنهاد هم دارم اونم استفاده از روش شیء گرا هست. من که دیگه اصلاً نمیتونم از کلاسها دل بکنم!
مثلاً همین قضیه کاربرها رو میشه با یک کلاس factory راحت حل کرد.

**ahmadirad1365** · 06-09-2008, 11:40

نوشته شده توسط zibatarin nam [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

سلام
ممنون
ولی انگار متوجه نشدید من دارم با php کد می نویسم تو اینجا که ابزار Net. وجود نداره.

اساتید بزرگ php کم لطف شدن نمیان نظر بدن.

سلام
من زیاد با php کار نکردم اما شما هم مثل هر اپلیکیشن متعارف دیگه میتونی در دیتابیس یک جدول مخصوص رخدادهای هر کاربر درست کنید و توش اطلاعاتی رو که بشه با اونا کاربر را مدیریت کرد ذخیره کنی بعد با استفاده از چند کد سراری که لزومی هم نداره کد php باشه (با خود دستورات sql شرطی) کاربر رو هدایت و برای اعمال رفتارش کد مربوطه رو بنویسی
دقیقا این کا رو بیشتر cms هایی که با php نوشته شده اند انجام داده اند به طور مثال به دیتابیس همین vBulletin توجه کنید.
در ضمن در هر زبان برنامه نویسی ای در صورتی که برای سشن های تعریف شده "رل" (به اصطلاح خودم!) درست حسابی ای ایجاد نکنید به 5 روش کلی میشود از این سشنها استفاده نمود.
برای اطلاعات بیشتر میتوانید به مقاله ای که در مجله وب منتشر شده است رجوع کنید

**hadi_joulaee** · 06-09-2008, 17:55

من کاملا با نظر neopersia موافقم .
فقط id رو داخل یه سشن نگه داریم و بعدش permission هر کاربر رو از جدول مشخصات کاربران واکشی کنیم و محدودیت هارو طبق permission هر کاربر اعمال کنیم.

نام تاپيک: session و login كاربران

اختيارات تاپيک

session و login كاربران

این کاربر از pezhman32 بخاطر این مطلب مفید تشکر کرده است

این کاربر از ahmadirad1365 بخاطر این مطلب مفید تشکر کرده است

این کاربر از neopersia بخاطر این مطلب مفید تشکر کرده است

این کاربر از ahmadirad1365 بخاطر این مطلب مفید تشکر کرده است

Thread Information

Users Browsing this Thread

User Tag List

قوانين ايجاد تاپيک در انجمن