ארכיון רד-בורד: בונה מערכת וזקוק לעזרה.

30/04/2006 14:01:28 אודי

היי.
אני בונה מערכת, סתם ליישם ידע ולהעביר את הזמן בין בגרות לבגרות.
את המערכת אני מפתח בPHP, ועד כה הגעתי ליצירת התחברות לפאנל..עם עוגיות והכל...וכל עמוד שמשמש אותי בתור מנהל בודק את העוגיות והכל.

השאלה שלי היא כזאת..מה יותר בטוח:
1. להכניס למסד הנתונים פרטי התחברות (שם משתמש וסיסמא) ולהשוות אותם עם מה שהוקש בטופס..
2. לעשות תנאי כזה:
קוד:
if($user=="Udi" && $pass=="1@1")

?
בינתיים עשיתי את האפשרות השנייה כדי להתחיל משהו אחר..

למעוניינים לדעת..זאת מערכת פשוטה שאני בונה, בינתיים האפשרויות שלה יהיו:
הוספת קטגוריות (שבעצם הם כמו דפי תוכן שונים זה מזה).
שליחת עמודי תוכן לאותם קטגוריות.
הקטגוריות כמובן מוצגות בתפריט.
גם תיהיה אפשרות להוסיף תגובות והכל..
בפאנל ניהול אני יוכל לראות אייפי של המגיבים, אני יוכל להוסיף לעצמי כל מיני פתקיות לכאורה.

בעתיד אני ירצה לעשות את העניין של הBBCODE..

:) שיהיה לי בהצלחה..
ואל תשכחו לענות על השאלות למעלה.

30/04/2006 14:10:29 dracula_2000

אני אישית הייתי ממליץ לך להכניס למסד הנתונים פרטי התחברות ולהשוות אותם עם מה שהוקש בטופס. כמובן שזה יכול לגרום להאקרים לעשות לך Sql Injection אבל כיום זה אחד הדרכים הפופולאריות .
כמובן שאתה יכול גם לעשות את האפשרות השנייה עם הקוד:
קוד: if($user=="Udi" && $pass=="1@1")

אבל כיום אני כבר לא רועה הרבה אתרים עם האפשרויות האלו.

מכווה שעזרתי.

30/04/2006 14:25:55 אודי

איך בדיוק אתה יכול לראות אתרים שעושים ככה?
לא כל כך מרגישים בהבדל בהתחברות.
אני ימנע מן הסתם הזרקות SQL :-|

30/04/2006 14:36:43 dracula_2000

יש כל מיני דרכים לגלות את זה. אני לא אמרתי לך שיש איזה הבדל בהתחברות אני פשוט הצעתי לך לעשות את האפשרות של הכנסת למסד הנתונים פרטי התחברות ולהשוות אותם עם מה שהוקש בטופס.אבל אני לא אמרתי לך שזה מה שאתה חייב לעשות. ובקשר לזה שתמנע מי Sql Injection אז אני מאמין שבאמת תצליח עם לא תכניס פרמטרים ישירות מהמשתמש אל שאילתות הניגשות לבסיס הנתונים ועם לא תסמוך על כל מידע שמגיע מצד הלקוח ,וכמובן עם תעשה בדיקה של כל קלט המגיעה מהמשתמש וסינון תווים מסוכנים.

30/04/2006 14:41:03 אודי

ההודעות שלך לא מובנות :-?
לא אמרתי שחייבת אותי משהו, שאלתי אותך איך בדיוק אתה רואה אתרים שעושים את זה או אפשרות אחרת..

טוב דיברתי עם טל..הסביר לי יותר טוב.

לא רק להכניס למסד אלה גם להצפין :)
הכי בטוח.

ואין פה קשר ממש לSQL Injections לדעתי.
הייתי מונע אותם אם הייתי משתמש במסד נתונים.

30/04/2006 14:43:51 devil kide

אתה יכול במקרים מסויימים לדעת אם בעל האתר משתמש במסד נתונים.

30/04/2006 15:20:53 אודי

אם יש לו סקריפט של הרשמה לאתר והתחברות..כמובן שהוא משתמש במסד נתונים..:-|

אבל אם זה סקריפט התחברות פשוט למשתמש אחד..
וכזה שהוא לא ממש זמין לאנשים אחרים..
(אצלי למשל עשיתי תיקייה עם שם לא קשור ששם אני שם את כל לוח בקרה שלי)..ותיקיות כמו admin, adm, manager, menahel, nihul הם טפסים שכל הזמן מקבלים Wrong Password.

30/04/2006 15:23:18 devil kide

OK, הבנתי את הראש שלך, אני חושב שחבל להתחיל לבנות מערכת (גם אם זה סתם בשביל הכייף) שתתאים למשתמש אחד, תעבוד עם DB , לך תדע אולי יום אחד צעלה ת’מערכת לרשת.

30/04/2006 15:32:16 dracula_2000

תראה לנו אחרי שתגמור את התוצאה.

30/04/2006 15:57:44 Rx3vL0n

ווואי עשית לי חשק להמשיך ללמוד Php
ובקשר לשאלות שלך נתת רק דוגמא לדרך אחת מבלי השנייה אבל כמו שאמרת עדיף להצפין את המידע
בהצלחה

30/04/2006 16:08:01 אודי

הבאתי דוגמא שניה..
תחת הסעיף "2."..
LOL...

ודוויל, אני עובד עם DB כמובן, אבל לא חשבתי להשתמש בו במקום הזה ספציפית.
אבל הבנתי שעדיף גם במקרה הזה לעבוד עם DB.. אז אני ימשיך ככה.

30/04/2006 16:09:58 devil kide

בסוף אתה מפרסם לנו כאן את המקור?

30/04/2006 16:13:37 Rx3vL0n

אהה נכון טעות שלי מצטער לא ראיתי מה זה DB אם אפשר לדעת?

30/04/2006 17:15:46 אודי

DataBase
מסד נתונים.

ואני לא חושב שאני יפרסם את המקור..נראה..

30/04/2006 19:41:37 dracula_2000

RxEv אני ממליץ לך ללמוד Access עם אתה לא יודע מה זה DataBase .כמו כן אני מסכים איתך בקשר לתגובה שלך כשאמרת שעדיף להצפין את המידע. מידע מוצפן הרבה יותר מועדף .[ההודעה נערכה על-ידי dracula_2000 ב-02/05/2006 10:36:01]

02/05/2006 14:12:43 tal

ציטוט:אני אישית הייתי ממליץ לך להכניס למסד הנתונים פרטי התחברות ולהשוות אותם עם מה שהוקש בטופס. כמובן שזה יכול לגרום להאקרים לעשות לך Sql Injection אבל כיום זה אחד הדרכים הפופולאריות .
כמובן שאתה יכול גם לעשות את האפשרות השנייה עם הקוד:
קוד: if($user=="Udi" && $pass=="1@1")

אבל כיום אני כבר לא רועה הרבה אתרים עם האפשרויות האלו.

מכווה שעזרתי.

על מה אתה לעזאזל מדבר? ממתי מערכות CMS משתמשות בכזאת סוג של וולידציה? השימוש העיקרי כיום ב- DB... ומקסימום שימוש בקבצי XML.. למרות שגם זה מאוד נדיר...
ומה הקשר SQL INJECTION? אתה חושב שכל אפליקציה שכותבים ישר חשופה ל- SQL INJECTION? הסיבה העיקרית של SQL INJECTIONS כיום זה חוסר מודעות של המתכנתים... ברגע שאתה מודע לבעייה אתה יודע איך למנוע אותה...

בקיצור אודי, שלב שלב... אתה תמיד יכול לחזור אחורה ולשנות את הדרך שבה אתה נכנס למערכת...

02/05/2006 16:49:41 אודי

אכן.

אבל לא בכל טופס אפשר לעשות הזרקת SQL :-|

או שאני טועה? לא נראה לי.

הרי אם הטופס לא משתמש בDB, לא מכניס, לא מוציא ולא משווה לא כלום..אז לא יעזור אם מישהו ינסה להזריק שאילתא בטופס..זה לא יעבוד.. נכון?

02/05/2006 16:51:10 tal

זה לא חייב להיות טופס... זה יכול להיות גם פרמטרים שנשלחים לדף... כל מקום שיש פעילות מול DB ישנו מקום גם ל- SQL INJECTION.

02/05/2006 16:54:10 devil kide

ציטוט:זה לא חייב להיות טופס... זה יכול להיות גם פרמטרים שנשלחים לדף... כל מקום שיש פעילות מול DB ישנו מקום גם ל- SQL INJECTION.
פעילות לא מוגנת, אם המתכנת מודע לבעיה ויודע איך "לסגור" את האפשרות הזו אז זה בלתי אפשרי לעשות sql injection .

יום טוב.

02/05/2006 16:54:42 אודי

סבבה. הבנתי.
תודה.

אני גם עושה הגבלה ל3 ניסיונות התחברות...

אבל איך בדיוק אני חוסם מישהו כזה שניסה להתחבר 3 פעמים?
לוקח אייפי..סבבה..ולא מאפשר לפי אייפי..אבל אפשר להתנתק ולהתחבר..
אם אני יכניס עוגייה הוא ימחק..

מה עוד אפשר?

02/05/2006 17:00:37 tal

על פי SESSION.... ה- SESSION נשמר על פי היוזר שעל המחשב שלך אם אני לא טועה....
תנסה לשמור את זה שם...

02/05/2006 17:02:14 אודי

אוף נפל השרת.
מעברי שרת מעפנים :-\

סבבה, תודה טל. לעשות רק סשן? או כל הדברים שאפשר למנוע שציינתי למעלה?

02/05/2006 17:04:31 devil kide

אודי ,אפשר לראות את העבודה? פליז :)
אפילו אם בא לך שלח בפרטי כתובת :)

02/05/2006 17:04:55 אודי

חחח..לא..
אני ישלח כשיהיה בשר..
אני עובד רק על הפאנל בינתיים.

02/05/2006 17:05:53 devil kide

אהה OK.
טוב, הגיע הזמן שאני יחליף חתימה, מתחילים להריח את יום העצמאות :) .
טל,בן כמה אתה?
ואודי בן כמה אתה, ומאיפה אתה מכיר את דרקולה?[ההודעה נערכה על-ידי devil kide ב-02/05/2006 17:09:19]

02/05/2006 17:12:48 אודי

אתה מחליף לזה?!
זאת החתימה שלך? בלאטט

02/05/2006 17:13:44 devil kide

ראיתי את זה ברשת, הרג אותי מצחוק...
לא נחמד?!
ומה אני יעשה שאפחד לא רוצה להכין לי :([ההודעה נערכה על-ידי devil kide ב-02/05/2006 17:14:22]

02/05/2006 17:14:24 אודי

לא..

ואגב טל בשכבה שלי..אני מניח שהוא בן 17.

02/05/2006 17:15:46 devil kide

שוב, גם לא רוצים להכין לי...
אה אז הרבה מר"ב בביצפר שלך?

02/05/2006 17:26:29 אודי

1 חכם, 1 אידיוט.[ההודעה נערכה על-ידי אודי ב-02/05/2006 17:29:10]

רד-בורד: ארכיון

ראשי > תיכנות > בונה מערכת וזקוק לעזרה.