View Full Version : سوال: چه طوری باید با session از ورود مستقیم به صفجه کاربران جلوگیری کرد؟
elham1611
سه شنبه 19 بهمن 1389, 10:55 صبح
با سلام
دوستان برای اینکه کسی نتونه با تایپ مستقیم آدرس قسمت اعضا وارد اون قسمت بشه چه طوری میشه با session جلوش رو گرفت؟
آیا این راه حل درسته :
در قسمت لاگین بعد از اعبار سنجی یک session رو مقدار دهی میکنم بعد توی قسمت صفحه کاربر اول بررسی کنه که آیا این session اون مقدار رو داره ؟ اگه داشت اجازه ورود بده.
ولی خب مقدار session رو میشه دستی توی مروگر تغییر داد. حالا چه کار باید کرد؟:متفکر:
mehrdad85
سه شنبه 19 بهمن 1389, 11:15 صبح
سلام
چطوری میشه اونو دستی تغییر داد؟
میشه یگی برام جالب بود اخه من خیلی وقتا از همین روشی که گفتی استفاده میکردم
silverfox
سه شنبه 19 بهمن 1389, 11:24 صبح
این لینک رو ببینید یه سری توضیحاتی داده (http://supratimmodak.blogspot.com/2007/07/session-hacking.html) ولی خودش رو از تو مرورگر که نمیشه دستکاری کرد(در مورد session id هم که تو لینک گفته...)!!!!؟کوکی رو می شه دستکاری کرد که اونم هش می شه و این قضیه منتفی می شه ولی در کل سشن روی سرور هست و اگر هم بخواد تغییری داده بشه به این راحتی نیست...
elham1611
سه شنبه 19 بهمن 1389, 20:50 عصر
ممون
ولی من قبلا با یک اکانتی وارد سایت دانشگامون شدم و سشن رو ذخیره کردم
بعد با اکانت دیگری وارد شدم و سشن رو به اولی تغییر دادم
نتیجش این شد که دوباره خودش وارد اولی شده بود.
reza4359
سه شنبه 19 بهمن 1389, 21:09 عصر
ممون
ولی من قبلا با یک اکانتی وارد سایت دانشگامون شدم و سشن رو ذخیره کردم
بعد با اکانت دیگری وارد شدم و سشن رو به اولی تغییر دادم
نتیجش این شد که دوباره خودش وارد اولی شده بود.
نه دوست من شما بایدصفحاتی و که به اونا محدودیت دسترسی دادید رو در یک پوشه قرار بدید و بعد یک web.config به اونا اضافه کرده و این کد رو درون web.config قرار بدید و رولهایی رو که میخواید مجوز دسترسی بدید رو براش فعال کنید
<system.web>
<authorization>
<allow roles="admin"/>
<deny users="*"/>
</authorization>
</system.web>
vBulletin® v4.2.5, Copyright ©2000-1404, Jelsoft Enterprises Ltd.