Достъп за определен потребител

cold_zero

Registered
Здравейте,

Искам да направя до профила на даден потребител да има достъп само той, защото открих, че в системата която ползвам тази опция не е защитена и всеки може да редактира профила на другия чрез една мъничка дупчица в системата... :? Самата страница която се отваря е примерно edit_member.php?username=ColD_ZerO
Разглеждах из пхп кода за нещо което да проверява, но...Някой може ли да даде някаква идея, защото аз нищо не мога да се сетя :cry:
 

jooorooo

Registered
да.. може чрез сесии, ама аз не разбирам много от тях, а другия варянт е да хешираш името с md5 и след това от гет го дешифрираш.. или вместо да ти е с гет го направи да е с пост (POST) и така няма да е линка така:

edit_member.php?username=ColD_ZerO а ще е така:
edit_member.php
 

cold_zero

Registered
Според мен със сесий ще стане, но не ги разбирам тия работи...Системата която ползвам е с кукита...
 

cold_zero

Registered
В момента го направих каквото и потребителско име да се въведе се отваря информацията на логнатия потребител :wink: Но пак би ми свършила някаква защита като се напише друг потребител примерно да отваря бяла страница, макар че и сега ми върши работа пак не могат да се редактират други потребители :)
 

Admin

Registered
cold_zero каза:
В момента го направих каквото и потребителско име да се въведе се отваря информацията на логнатия потребител :wink: Но пак би ми свършила някаква защита като се напише друг потребител примерно да отваря бяла страница, макар че и сега ми върши работа пак не могат да се редактират други потребители :)

Щом може да провериш кой е логнатия потребител значи може да
провериш какво е пратил като гет и дали съвпада с логнатия потребител.
Ако се е логнал cold_zero а пък изпраща с get ivan значи че нещо не е наред и му даваш бяла страница.
 

Горе