-2

当社のウェブサイトでは、DecoNetworkという会社のオンライン ソフトウェアを使用しています。これにより、お客様はログインして注文を追跡できます。彼らのコードをログイン フォームに使用し、カスタム Web サイトで使用することができました。

    <form action="http://cheapcustomtees.deco-apparel.com/user/login?mobi=0" method="post">             
    <input type="hidden" name="_pc_session_id" value="7eb5d16ed18b074967ee0cf333d24417"/>
    <input type="hidden" name="_pc_skey" value="wynkunatrixikuquunetycyxomynkozatrivozichardaru"/>
        Login: &nbsp;<input type="textbox" name="user[login]"/> &nbsp; &nbsp; 
        Password: &nbsp;<input type="password" name="user[password]"/>
        Remember me: &nbsp;<input type="checkbox" name="remember_me" value="1" checked="true" class="auto" />       
        <input type="submit" value="Login" class="bigbutton" style="font-size:10pt; font-family:Museo700; cursor:pointer;" />
    </form> 

可能であれば、ユーザーがログインしているかログアウトしているかに基づいてコンテンツを表示したいと考えています。ログアウトしている場合は、ログインフォームを表示します。そうでなければ、何か他のものを示してください。

他の誰かのセッションでこのようなことは可能ですか? もしそうなら、私はまだPHPに慣れていないので、例を教えてもらえますか?

4

1 に答える 1

0

設定されていない限り、セッションやサードパーティの Web サイトの Cookie を使用することはできません。

理論的には、次のようなことができる脆弱性がいくつかあります。

  • クロスサイト スクリプティング (「XSS」)

それが完全に違法であるという事実を無視しても、XSS を介して盗んだ Cookie が有効でアクティブな Cookie であるかどうかを確認するには、cURL でかなりのカンフー操作を実行する必要があります。また、リフレクティブ XSS をブロックしないブラウザーをユーザーが使用していることも幸運である必要があります。永続的なものを持っていないと仮定します。

また、Cookie を取得できたとしても、サード パーティのセッション管理は IP アドレス ベースではないため、幸運が必要です。

脆弱性、または奇妙なタイプの認証を行うように設定された Web サイトを除いて、これは不可能であり、可能であってはなりません (重大なセキュリティ上の脅威をもたらす可能性があります)。

ユーザーの機密情報 (パスワードなど) を保存したくない場合、最も近いのは OpenID です。

于 2013-04-23T20:17:23.373 に答える