|
Действия ...
|
26.01.2010, 20:01
|
|||
|---|---|---|---|
|
|||
Нужно или нет? |
|||
|
|
|
26.01.2010, 21:03
|
|||
|---|---|---|---|
|
|||
Нужно или нет? |
|||
|
|
|
26.01.2010, 22:16
|
|||
|---|---|---|---|
|
|||
Нужно или нет? |
|||
|
|
Новые сообщения [новые:0]
Дайджест
Горячие темы
Избранное [новые:0]
Форумы
Пользователи
Статистика
Статистика нагрузки
Мод. лог
Поиск
|
|
26.01.2010, 18:42
|
|||
|---|---|---|---|
Нужно или нет? |
|||
|
#18+
Скрипт отправляет письмо посетителю что он успешно подал заявку на регистрацию и ему нужно подтвердить ее перейдя по ссылке. Начальство говорит что нельзя оставлять ссылку просто так. Надо как-то ее шифровать. Я вот не пойму зачем. Во первых письмо никто другой не прочтет. Если уж так случилось что прочел кто-то, что ему даст эта ссылка? При переходе он попадет на сайт, на страницу с надписью что все хорошо. Кто из нас прав? Если начальство, то тогда дайте совет как быть. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
26.01.2010, 19:03
|
|||
|---|---|---|---|
Нужно или нет? |
|||
|
#18+
Esofter, смотря что подразумевается под шифрованием. Если вы настаиваете над ссылкой http://domain/path/confirm?user_id=123, а ваше начальство над http://domain/path/confirm?secret_hash=agfayug18721118tfr178927r01&user_id=123 - право ваше начальство. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
26.01.2010, 19:06
|
|||
|---|---|---|---|
Нужно или нет? |
|||
|
#18+
an0nymEsofter, смотря что подразумевается под шифрованием. Если вы настаиваете над ссылкой http://domain/path/confirm?user_id=123, а ваше начальство над http://domain/path/confirm?secret_hash=agfayug18721118tfr178927r01&user_id=123 - право ваше начальство. Вот такая ссылка http://ххх.ххх.ua/registration/client_confirm?cid=36 Что тут ценного? айди? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
26.01.2010, 19:09
|
|||
|---|---|---|---|
Нужно или нет? |
|||
|
#18+
Esofter, ценного тут то, что можно ввести несуществующий email, далее посмотреть, какой был ID у последнего юзера и просто зайти по ссылке с ID = последний ID + 1. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
26.01.2010, 19:33
|
|||
|---|---|---|---|
Нужно или нет? |
|||
|
#18+
an0nymEsofter, ценного тут то, что можно ввести несуществующий email, далее посмотреть, какой был ID у последнего юзера и просто зайти по ссылке с ID = последний ID + 1. Пользователь ввел несуществующий емейл. Куда ему придет эта ссылка? В конвертике? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
26.01.2010, 19:38
|
|||
|---|---|---|---|
Нужно или нет? |
|||
|
#18+
EsofterПользователь ввел несуществующий емейл. Куда ему придет эта ссылка? В конвертике? Я регистрируюсь в вашей системе на нормальный ящик. Вижу ссылку вида http://ххх.ххх.ua/registration/client_confirm?cid=36. Далее ботом могу зарегистрировать себе тысячи аккаунтов на любое мыло, ибо буду знать, что следует переходить по ссылкам http://ххх.ххх.ua/registration/client_confirm?cid=37 http://ххх.ххх.ua/registration/client_confirm?cid=38 ... http://ххх.ххх.ua/registration/client_confirm?cid=N соответственно. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
26.01.2010, 19:46
|
|||
|---|---|---|---|
Нужно или нет? |
|||
|
#18+
an0nymEsofterПользователь ввел несуществующий емейл. Куда ему придет эта ссылка? В конвертике? Я регистрируюсь в вашей системе на нормальный ящик. Вижу ссылку вида http://ххх.ххх.ua/registration/client_confirm?cid=36. Далее ботом могу зарегистрировать себе тысячи аккаунтов на любое мыло, ибо буду знать, что следует переходить по ссылкам http://ххх.ххх.ua/registration/client_confirm?cid=37 http://ххх.ххх.ua/registration/client_confirm?cid=38 ... http://ххх.ххх.ua/registration/client_confirm?cid=N соответственно. Ага, теперь допер в чем дело. А как решить эту проблему не подскажите? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
26.01.2010, 20:01
|
|||
|---|---|---|---|
Нужно или нет? |
|||
|
#18+
как было написано во втором топике хранить дял пользователя в базе некий код, катоырй будет передавать в ссылке гет параметром, и сравниваться с оригиналом. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
26.01.2010, 20:06
|
|||
|---|---|---|---|
Нужно или нет? |
|||
|
#18+
Ренаткак было написано во втором топике хранить дял пользователя в базе некий код, катоырй будет передавать в ссылке гет параметром, и сравниваться с оригиналом. Понял, спасибо. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
26.01.2010, 20:06
|
|||
|---|---|---|---|
Нужно или нет? |
|||
|
#18+
Отсылайте в письме ссылку с хэшем, например. http://ххх.ххх.ua/registration/client_confirm?hash=agfayug18721118tfr178927r01 У себя заведите табличку с двумя полями: id_user и hash. Перед оправкой занесите сформированный хэш и id пользователя в эту табличку. Когда кто-то зайдет на страничку ...client_confirm?hash=... ищите этот хэш в табличке, если не найден, то выдавайте например 404 страницу или еще что. Если же найден, то у вас есть id пользователя, делайте с ним что хотите, а потом удалите из таблицы эту запись ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
26.01.2010, 20:38
|
|||
|---|---|---|---|
Нужно или нет? |
|||
|
#18+
selaxОтсылайте в письме ссылку с хэшем, например. http://ххх.ххх.ua/registration/client_confirm?hash=agfayug18721118tfr178927r01 У себя заведите табличку с двумя полями: id_user и hash. Перед оправкой занесите сформированный хэш и id пользователя в эту табличку. Когда кто-то зайдет на страничку ...client_confirm?hash=... ищите этот хэш в табличке, если не найден, то выдавайте например 404 страницу или еще что. Если же найден, то у вас есть id пользователя, делайте с ним что хотите, а потом удалите из таблицы эту запись Тоже неплохо, подумаю над этим. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
26.01.2010, 21:03
|
|||
|---|---|---|---|
Нужно или нет? |
|||
|
#18+
EsofterТоже неплохо, подумаю над этим. эт одно и тоже) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
26.01.2010, 21:50
|
|||
|---|---|---|---|
Нужно или нет? |
|||
|
#18+
РенатEsofterТоже неплохо, подумаю над этим. эт одно и тоже) После первого совета я думал хранить эти хеши в таблице пользователей. Но сейчас сделаю отдельную таблицу и после подтверждения буду удалять запись оттуда. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
26.01.2010, 21:52
|
|||
|---|---|---|---|
Нужно или нет? |
|||
|
#18+
Я б в мемкеш на сутки закинул... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
26.01.2010, 21:58
|
|||
|---|---|---|---|
Нужно или нет? |
|||
|
#18+
an0nymЯ б в мемкеш на сутки закинул... а если пользователь не подтвердит за сутки? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
26.01.2010, 22:16
|
|||
|---|---|---|---|
Нужно или нет? |
|||
|
#18+
Esofteran0nymЯ б в мемкеш на сутки закинул... а если пользователь не подтвердит за сутки? А на всех сайтах прописано: если не потвердите регистрацию, то акаун удаляиться. А то вдру ты суперское имя се захапал и им не пользуешься, пусть другие хоть будут пользоваться. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
27.01.2010, 11:47
|
|||
|---|---|---|---|
Нужно или нет? |
|||
|
#18+
EsofterselaxОтсылайте в письме ссылку с хэшем, например. http://ххх.ххх.ua/registration/client_confirm?hash=agfayug18721118tfr178927r01 У себя заведите табличку с двумя полями: id_user и hash. Перед оправкой занесите сформированный хэш и id пользователя в эту табличку. Когда кто-то зайдет на страничку ...client_confirm?hash=... ищите этот хэш в табличке, если не найден, то выдавайте например 404 страницу или еще что. Если же найден, то у вас есть id пользователя, делайте с ним что хотите, а потом удалите из таблицы эту запись Тоже неплохо, подумаю над этим.Чтобы не парить себе моск хешами, люди используют поле uniqueidentifier с newid() в качестве значения по умолчанию. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
|
|
|
start [/forum/topic.php?fid=22&mobile=1&tid=1453624]: |
0ms |
get settings: |
7ms |
get forum list: |
9ms |
check forum access: |
2ms |
check topic access: |
2ms |
track hit: |
168ms |
get topic data: |
8ms |
get forum data: |
2ms |
get page messages: |
31ms |
get tp. blocked users: |
1ms |
| others: | 224ms |
| total: | 454ms |
| 0 / 0 |
