คำถามนี้หลายๆคนคงอยากรู้ เพราะมันจะปลดแอกการจดโดเมนเยอะๆ หันมาปั้นซับแทน มาคิดเล่นๆกันครับ

หากเราแยกซับโดเมน เช่น
domain.com
domain.com/admin

chat.domain.com
chat.domain.com/admin

pic.domain.com
pic.domain.com/admin

ตอนล็อกอินเราเขียนคุ้กกี้ความเป็น admin ไปด้วย เช่น setcookie("admin", 1,...........................);

ตอนจะเข้าหน้าแอดมิน เราก็เช็ค permission ความเป็น admin ซะก่อน

if($_COOKIE['admin'] = '1'){
สามารถเข้าหน้าแอดมินได้ สามารถทำ action ของ admin ได้
}else{
ถ้าสมาชิกคนนี้ไม่ใช่แอดมิน ก็รีไดเร็คออกไปหน้า index ซะ
}

แบบนี้สามารถป้องกัน คนปลอมคุ้กกี้เป็น admin ได้ไหม

admin จะเก็บ cookie ทำไมล่ะครับ = ="

session ก็พอแล้ว

แต่ถ้ายังอยากเก็บใน cookie ผมไม่รู้ว่า cookie สามารถล้วงเข้าไปเอาใน browser ได้ขนาดไหน
<ในกรณีเครือ่งติดพวก virus ไม่ก็โดนเข้าไปแกะตรงๆเลย>

ซึ่งแนะนำว่า ถ้าจะเก็บจริงๆ ก็แนะนำว่าให้เดาไว้ก่อนเลยว่าแมร่งแกะ cookie ในเครื่องออกมาอ่านได้
ดังนั้น ทั้ง key/value อย่าใช้คำง่ายๆครับ เช่น admin, 1, true, false ให้ดับแปลงนิดๆหน่อยๆ
เสร็จก็ one way encryption มันจะได้ถอดไม่ได้

หรือถ้าจะใช้คำง่ายๆเช่น admin ก็เข้ารหัสง่ายๆก่อน ค่อยทำ one way encryption อีกรอบครับ

ตอนนี้ผมคิดไว้ว่าจะใส่รหัสแอดมินไว้ใน config.inc.php อีกตัวนึง คือล็อกอินสองชั้น แต่มันก็จะลำบากนิดหน่อยเวลาเข้าหน้าแอดมิน ไม่รู้มีวิธีดีๆกว่านี้ไหมนะ

if($_COOKIE['admin'] = '1'){
ฟอร์มใส่พาสที่สอง เช็คกับ config.inc.php
ถ้าพาสถูกให้เข้าหน้าแอดมินได้ สามารถทำ action ของ admin ได้
}else{
ถ้าสมาชิกคนนี้ไม่ใช่แอดมิน ก็รีไดเร็คออกไปหน้า index ซะ
}

คือเรื่องแฮคนี่ไม่รู้เรื่องเลย โมฯสคริปเป็นอย่างเดียว

รู้จักและเคยใช้ $_SESSION รึยังครับ

ห้ามใช้ cookie ในการเก็บค่าสำคัญๆ ในส่วนของการ authenticate โดยเด็ดขาดครับ
cookie สามารถปลอมแปลงได้ง่ายมาก เพราะเป้นค่าที่ถูกส่งมาจาก client ไม่ต่างอะไรกับการใช้ get หรือ post ครับ


เทคนิคที่ใช้กันคือ สร้าง session เก็บ user ที่ login เข้ามา "ถ้า login ผ่าน" แล้วหลังจากนั้นเอาค่า session ไปตรวจสอบสิทธิ์อีกทีว่าเป็น admin รึเปล่า

ใช้ sesion ปลอดภัยกว่าครับ

ใช้การ เข้ารหัส คุ๊กกี้ ไม่ได้เหรอครับ มีน้องทำให้ผมอยุ่

โห..ความรู้ล้วนๆเลยครับ คิดถูกจริงๆที่ตั้งกระทู้ สงสัยต้องไปศึกษาเซสชั่น ตอนนี้ใช้เป็นแค่คุ้กกี้ เห็นเค้าเก็บคุ้กกี้ไอเราก็เอามั่ง เข้ารหัสคุ้กกี้ก็น่าสนครับ เดี๋ยวลองดูใหม่ งานเข้าเต็มๆ แก้เยอะเลย

ที่น้องผมมันใช้การเข้ารหัสคุ๊กกี๊ เพราะมีหน่อยงานางหน่อย มันดัก ข้อมูลไงครับ ที่เคยด่าๆกันอะ น้องมันเลยแนะนำตัวนี้

ย้ำอีกทีครับ cookie ไม่ต่างอะไรกับการใช้ get post เลยแม้แต่น้อย...

อ้างถึงจาก: icez ใน 10 กรกฎาคม 2013, 13:16:09
ย้ำอีกทีครับ cookie ไม่ต่างอะไรกับการใช้ get post เลยแม้แต่น้อย...

อ่าา ครับ พอผมอ่านเม้นคุณ icez ผมก็พอนึกภาพออกละ เพราะเซสชั่นมันเก็บที่ server ปลอดภัยกว่า

แล้วถ้าเทียบกับเข้ารหัวคุ้กกี้ตามที่คุณ tarza แนะล่ะครับ เซสชั่นยังปลอดภัยกว่าไหม ผมจะได้เขียนโค้ดทีเดียวเลย ไม่งั้นแก้ยาว

ผมมาย้ำให้อีกครั้ง ละกัน

ใช้ session ดีกว่า

แต่ถ้าอยากจะใช้ cookie จริงๆ ก็ต้องเข้ารหัส

แต่การเข้ารหัสก็ไม่ได้ปลอดภัย 100%
มันถูกถอดได้ครับ

อ้างถึงจาก: ฉันไม่มีตัวตน ใน 10 กรกฎาคม 2013, 13:22:01

อ้างถึงจาก: icez ใน 10 กรกฎาคม 2013, 13:16:09
ย้ำอีกทีครับ cookie ไม่ต่างอะไรกับการใช้ get post เลยแม้แต่น้อย...

อ่าา ครับ พอผมอ่านเม้นคุณ icez ผมก็พอนึกภาพออกละ เพราะเซสชั่นมันเก็บที่ server ปลอดภัยกว่า

แล้วถ้าเทียบกับเข้ารหัวคุ้กกี้ตามที่คุณ tarza แนะล่ะครับ เซสชั่นยังปลอดภัยกว่าไหม ผมจะได้เขียนโค้ดทีเดียวเลย ไม่งั้นแก้ยาว

session ดีกว่าครับ แต่มันต้อง login ใหม่ ถ้าเป็นพวกเว็บบอร์ด ที่สมาชิกเยอะหน่อย คงไม่สดวกมั้ง หรือแล้วแต่ความชอบ แต่ถ้าจะใช้ คุ๊กกี๊ เข้าหรัสหน่อยก็จะดีครับ

ไปอ่านเรื่องเซสชั่นมามันมากๆ ในกระทู้นี้+เว็บต่างๆก็เชียร์เซสชั่น(ไม่เห็นพูดเรื่องเข้ารหัสคุ้กกี้) งั้นคงต้องแก้สคริปล่ะครับ แต่ปัญหาคือ มันขี้เกียจนี่สิ

เอาโค้ดมาเผื่อ
ini_set('session.cookie_domain', '.aaaa.com');//ใช้เซสชั่นข้ามซับโดเมน ประมาณล็อกอินเว็บหลัก แล้วซับใช้ได้ด้วย
ini_set('session.gc_maxlifetime', 3600);//กำหนดเวลาหมดอายุ
session_start();//ใส่บนๆ เพื่อเปิดใช้งาน

ใครเขียน setcookie เป็น ผมว่าเซสชั่นนี่ก็สบายๆล่ะ ยากตรงข้ามซับโดเมน+เวลาหมดอายุนี่ล่ะ ต้องมีโค้ดเพิ่ม

แก้เสร็จจะเอามาให้เทสกันครับ ขอเวลาสัก 10ปี กะว่าจะเอา pic ไปฝากที่ vps คุณ icez แล้วให้ลองแฮคกัน

SESSION เถอะครับ เห็นแล้วเสียวจริงอะไรจริง~ >,<"

ขอถามอีกนิดสิครับ หากใช้ $_SESSION[''] แล้วต้องเอาเข้า mysql_real_escape_string อีกไหม ประมาณกันไว้ก่อน

คนละเรื่องกันครับ

อ้างถึงจาก: ฉันไม่มีตัวตน ใน 10 กรกฎาคม 2013, 16:41:45
ขอถามอีกนิดสิครับ หากใช้ $_SESSION[''] แล้วต้องเอาเข้า mysql_real_escape_string อีกไหม ประมาณกันไว้ก่อน

ถามผิดๆ เอาใหม่ ต้องเอาเซสชั่นเข้า mysql_real_escape_string ด้วยไหม

ส่วน mysql_real_escape_string ผมใช้กับ $_POST , $_GET ไว้แล้ว

อ้างถึงจาก: ฉันไม่มีตัวตน ใน 10 กรกฎาคม 2013, 16:45:35

อ้างถึงจาก: ฉันไม่มีตัวตน ใน 10 กรกฎาคม 2013, 16:41:45
ขอถามอีกนิดสิครับ หากใช้ $_SESSION[''] แล้วต้องเอาเข้า mysql_real_escape_string อีกไหม ประมาณกันไว้ก่อน

ถามผิดๆ เอาใหม่ ต้องเอาเซสชั่นเข้า mysql_real_escape_string ด้วยไหม

ส่วน mysql_real_escape_string ผมใช้กับ $_POST , $_GET ไว้แล้ว

ใช้ตอนเก็บ data ลง db ไม่ใช่หรือท่าน มันคนล่ะหน้าที่นา  เอ๊ะหรือผมเข้าใจผิด 

อ้างถึงจาก: seonew ใน 10 กรกฎาคม 2013, 16:52:58

อ้างถึงจาก: ฉันไม่มีตัวตน ใน 10 กรกฎาคม 2013, 16:45:35

อ้างถึงจาก: ฉันไม่มีตัวตน ใน 10 กรกฎาคม 2013, 16:41:45
ขอถามอีกนิดสิครับ หากใช้ $_SESSION[''] แล้วต้องเอาเข้า mysql_real_escape_string อีกไหม ประมาณกันไว้ก่อน

ถามผิดๆ เอาใหม่ ต้องเอาเซสชั่นเข้า mysql_real_escape_string ด้วยไหม

ส่วน mysql_real_escape_string ผมใช้กับ $_POST , $_GET ไว้แล้ว

ใช้ตอนเก็บ data ลง db ไม่ใช่หรือท่าน มันคนล่ะหน้าที่นา  เอ๊ะหรือผมเข้าใจผิด 

ผมต้องเก็บบางค่า เช่น memberid เข้าดีบี $_SESSION['memberid'] ก็ไม่รู้นะว่าจำเป็นต้องใส่ไหม mysql_real_escape_string
ส่วนมากเคยใช้ mysql_real_escape_string กับพวก $_POST , $_GET ซะมากกว่า