Проблема с Сессиями

[moshkin_ura]

Здравствуйте, форумчане.
Перенес интернет магазин с хранения кук(ид юзера и.тд) на сессии.
все поправил... Но если заходить с любого ид скажем 5, то при заказе товара(занос товара в таблицу), после заказа она заносит товар для ид 1 и меняет сессию ид юзера 5 на 1.
Вроже весь код перепроверил, нечего не нащел!
P.S Почти весь сайт работает на

PHP код:

include_once() 


, надо ли

PHP код:

session_start() 


писать в каждом инклюд файле(где используются сессии)?

[notHaker]

Цитата:

Сообщение от moshkin_ura

Здравствуйте, форумчане.
Перенес интернет магазин с хранения кук(ид юзера и.тд) на сессии.
все поправил... Но если заходить с любого ид скажем 5, то при заказе товара(занос товара в таблицу), после заказа она заносит товар для ид 1 и меняет сессию ид юзера 5 на 1.
Вроже весь код перепроверил, нечего не нащел!
P.S Почти весь сайт работает на

PHP код:

include_once() 


, надо ли

PHP код:

session_start() 


писать в каждом инклюд файле(где используются сессии)?

Что это за бред, простите? Переход с кук на сессии чем обоснован? Да и странный код у вас, однако.

[pompiduskus]

Цитата:

Сообщение от notHaker

Что это за бред, простите? Переход с кук на сессии чем обоснован? Да и странный код у вас, однако.

Обосновано это тем, что на кукай я взломал его магазин примерно за 20 минут. Это с поиском дыр

[notHaker]

Цитата:

Сообщение от pompiduskus

Обосновано это тем, что на кукай я взломал его магазин примерно за 20 минут. Это с поиском дыр

Пример эксплоита или хака?

[pompiduskus]

Простая подмена куков. Это я ему посоветовал перейти на сессию.

[notHaker]

Цитата:

Сообщение от pompiduskus

Простая подмена куков. Это я ему посоветовал перейти на сессию.

Я бы сделал так:

1) Добавляемые товары хранятся в куках и обрабатываются клиентом до момента подтверждения заказа.
2) Подтверждение заказа — обязательный процесс, где покупатель видит таблицу и кол-во покупаемых товаров собранных из кук. Юзер подтверждает их покупку и сервер проверяет пришедшую форму с ранее захешированным приватным ключом пользователя (хранится на сервере) и пачку айдишников с товарами, тем самым исключая любой эксплойт или хак. Ели допилить авторизацию с юзанием приватного ключа — эксплоит даже не встанет, выкинув юзера в логаут.

Но раз задачи в этом не стоит, то этот код

PHP код:

include_once() //не работающий код 
session_start() //старт сессии, зачем-то 


мне ни о чем не говорит. Вообще ни о чем.

[pompiduskus]

Да, твой вариант был бы на много лучше.

[moshkin_ura]

Цитата:

Сообщение от notHaker

Я бы сделал так:
1) Добавляемые товары хранятся в куках и обрабатываются клиентом до момента подтверждения заказа.
2) Подтверждение заказа — обязательный процесс, где покупатель видит таблицу и кол-во покупаемых товаров собранных из кук. Юзер подтверждает их покупку и сервер проверяет пришедшую форму с ранее захешированным приватным ключом пользователя (хранится на сервере) и пачку айдишников с товарами, тем самым исключая любой эксплойт или хак. Ели допилить авторизацию с юзанием приватного ключа — эксплоит даже не встанет, выкинув юзера в логаут.

Но прикол с куками был такой, что при подмене id юзера, можно было добавить ему товаров в корзину, слава богу что я предусмотрел что-бы она в категорию оплачено не перемешало. Хоть это и ошибка маленькая, но насолить админу, или юзеру легко...да еще и войти под админом, а это уже капец...

[notHaker]

Цитата:

Сообщение от moshkin_ura

Но прикол с куками был такой, что при подмене id юзера, можно было добавить ему товаров в корзину, слава богу что я предусмотрел что-бы она в категорию оплачено не перемешало. Хоть это и ошибка маленькая, но насолить админу, или юзеру легко...да еще и войти под админом, а это уже капец...

А у вас токены не предусмотрены? Например, тот же приватный ключ — сгенерированная рандомно строка при регистрации. Токен — хеш, который получается из {cookies_data + private_key}. Получится та же сессия, только по проще с точки зрения рефакторинга.

[moshkin_ura]

Цитата:

Сообщение от notHaker

А у вас токены не предусмотрены? Например, тот же приватный ключ — сгенерированная рандомно строка при регистрации. Токен — хеш, который получается из {cookies_data + private_key}. Получится та же сессия, только по проще с точки зрения рефакторинга.

Нет токенов не делал... Но если выход не найду в течении дня, то попробую)) Я частью нубик в этом деле, так что без притензий