로그인 한 경우에만 내용을 표시하는 방법

Question

저희 웹 사이트는 DecoNetwork이라는 회사의 온라인 소프트웨어를 사용합니다. 그것은 우리의 고객이 로그인하고 주문 yadda yadda를 추적 할 수 있습니다. 로그인 양식에 자신의 코드를 사용하고 맞춤 웹 사이트에서 사용할 수있었습니다.

<form action="http://cheapcustomtees.deco-apparel.com/user/login?mobi=0" method="post">    
    <input type="hidden" name="_pc_session_id" value="7eb5d16ed18b074967ee0cf333d24417"/> 
    <input type="hidden" name="_pc_skey" value="wynkunatrixikuquunetycyxomynkozatrivozichardaru"/> 
     Login: &nbsp;<input type="textbox" name="user[login]"/> &nbsp; &nbsp; 
     Password: &nbsp;<input type="password" name="user[password]"/> 
     Remember me: &nbsp;<input type="checkbox" name="remember_me" value="1" checked="true" class="auto" />  
     <input type="submit" value="Login" class="bigbutton" style="font-size:10pt; font-family:Museo700; cursor:pointer;" /> 
    </form> 

가능한 경우 사용자가 로그인 또는 로그 아웃 한 경우 콘텐츠를 표시하고 싶습니다. 로그 아웃 한 경우 로그인 양식을 표시하십시오. 그렇지 않으면 다른 것을 보여주십시오.

다른 사람의 세션에서 이와 비슷한 작업이 가능합니까? 그렇다면 필자가 PHP를 처음 접했을 때 모범을 보여줄 수 있습니까?

Answer 1

타사 웹 사이트의 쿠키 나 세션 쿠키를 사용하도록 설정하지 않은 한 사용할 수 없습니다.

는 이론적으로 같은 당신을 허용 할 여러 가지 취약점이 있습니다 ..

• 크로스 사이트 스크립팅 사실을 무시하고 ("XSS")

당신은 여전히 ​​것, 완전히 불법입니다 당신이 xSS를 통해서 훔친 쿠키가 vaild이고 활동적인 쿠키인지 여부를 확인하기 위해 cURL을 사용하여 꽤 멋진 kungfu 동작을 수행해야합니다. 또한 사용자가 반사 형 XSS를 차단하지 않는 브라우저를 사용하는 것은 운이 좋을 것입니다. 당신이 영구적 인 것이 없다고 가정 할 때.

쿠키를 구할지라도 여전히 제 3 자의 세션 관리가 IP 주소 기반이 아니기 때문에 운이 좋을 것입니다.

이상한 형식의 인증을 수행하도록 설정된 취약성 또는 웹 사이트 외에도 이는 불가능하며 심각한 보안 위협이 될 수 있습니다.

사용자의 중요한 정보 (예 : 암호)를 저장하고 싶지 않다면 가장 가까운 것은 OpenID입니다.