Использование cookie

[Грем]

Есть скрипты, которые для авторизации используют логин и пароль от форума. Авторизация сама сделана, данные проверяются по базе и все работает

 

Интересует момент, чтобы не нужно было вводить логин и пароль от форума для использования скрипта, т.е. чтобы он брал данные из кукисов форума. Подскажите где про это почитать или некий пример реализации

[Sannis]

В форуме «Программирование» есть несколько примеров

[Alive_UA]

В описании багов есть многопримеров с иньекциями через клюци переменных куки.

может ли пользователь устанавливать названия переменных сессий???

они же на сервере!

и я смело использую mysql_query( "...{$_SESSION['id']}..." );

вместо mysql_query( "..." . intval( $_SESSION['id'] ) . "..." );

 

to Грем:

не знаю, как это у них сделано, но пароли в кукисах - быть того не может!

[Arhar]

пароли в кукисах - быть того не может

а как по твоему происходит автоматическая авторизация?

пойди посмотри такую штуку,как pass_hash у себя в куках к этому сайту

[Alive_UA]

пароли в кукисах - быть того не может

а как по твоему происходит автоматическая авторизация?

пойди посмотри такую штуку,как pass_hash у себя в куках к этому сайту

Ну, нттп-ответ с пасскеем и прослушать можно.

 

А на мой вопрос есть у Вас мнение?

названия переменных сессий же нельзя подменять?? или как-то можно?

ЗЫ: курл жжот

[Sannis]

Alive_UA, от прослушки спасает только авторизация по IP и ещё некоторые хитрые приёмы.

 

Что до вашего вопроса, то мне было бы не лень пройтись по файлам реплейсом и не париться. Это ещё никому не мешало