Задать вопрос
machetero
@machetero
gotlib.me
php

Безопасность кук?

Ставить куку с именем admin или is_admin я думаю даже обсуждать не стоит. Ставить куку user_id для идентификации пользователя тоже как то стрёмно. Как вообще правильно защититься от атак с подбором значения кук ? Понятно, что кто угодно может слать запросы с кукой user_id = 1, а этот юзер это например админ.
  • Вопрос задан
  • 147 просмотров
Комментировать
Подписаться 1 Оценить Комментировать
Решения вопроса 1
@kirill-93
Куки должны быть зашифрованы. Вместо user_id = 1, должно быть что-то вроде user_id = eyJpdiI6ImoremQwVmF5UlVzVHFtNTFKY1wvMGFRPT0iLCJ2YWx1ZSI6IjYzUnNsdlpQTkJIeTdPZUtDeTNCQnNPdUJBTytzdHpuZGVNRWhzTEZrak5FRG82WkE5b01KelhnajhZd3ltRXBxMldmaXZRWXVWQ1IrN3h4UGhWMWtHSjhNZ20rOUpMUVwvNVNNTkJicFZ1TT0iLCJtYWMiOiIxZTI4YjExY2JmNjliYTEzMGY1ODUzODY2Mjc2ZTg3NmI3YTBkMTY0MGQwZjI1Y2YwNGQ3ZmZkZjBhNTY5NTczIn0%3D
И пусть подбирают на здоровье.
Ответ написан
4 комментария
4 комментария
Пригласить эксперта
Ответы на вопрос 2
Sanasol
@Sanasol Куратор тега PHP
нельзя просто так взять и загуглить ошибку
В куках не надо хранить такие данные, с тем же успехом можно базу открыть всем.
Авторизация по сессии должна быть, вот и всё.
Ответ написан
Комментировать
Комментировать
@Fenix957
userid = xxx
cachepass= md5(md5(pass))
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
PHP Developer
YCLIENTS Москва
от 200 000 до 350 000 ₽
PHP разработчик
Ведисофт Екатеринбург
от 25 000 ₽
Midlle PHP developer (backend)
ИТЦ Аусферр Магнитогорск
от 100 000 до 160 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Подобрать картинки для каталога
27 апр. 2024, в 06:40
2000 руб./за проект
Подключить сервер к сети
27 апр. 2024, в 02:39
2500 руб./за проект
Необходимо сверстать приложение согласно макету Figma используя React
26 апр. 2024, в 22:22
1500 руб./за проект
Ещё заказы