|
 |
| |
การออกแบบเรื่อง ความปลอดภัยในการส่ง link ผ่านทาง email PHP |
| |
 |
|
|
 |
 |
|
ใช้การสุ่ม id แล้วส่งไปกับ link ครับ ปลอมไม่ได้ครับ ดูตัวอย่างนี้เลยครับ
Code (PHP)
$strSQL = "INSERT INTO member (Username,Password,Name,Email,Status,SID,Active) VALUES ('".$_POST["txtUsername"]."',
'".$_POST["txtPassword"]."','".$_POST["txtName"]."' ,'".$_POST["txtEmail"]."','USER','".session_id()."','No')";
$objQuery = mysql_query($strSQL);
$Uid = mysql_insert_id();
echo "Register Completed!<br>Please check your email to activate account";
$strTo = $_POST["txtEmail"];
$strSubject = "Activate Member Account";
$strHeader = "Content-type: text/html; charset=windows-874\n"; // or UTF-8 //
$strHeader .= "From: [email protected]\nReply-To: [email protected]";
$strMessage = "";
$strMessage .= "Welcome : ".$_POST["txtName"]."<br>";
$strMessage .= "=================================<br>";
$strMessage .= "Activate account click here.<br>";
$strMessage .= "https://www.thaicreate.com/activate.php?sid=".session_id()."&uid=".$Uid."<br>";
$strMessage .= "=================================<br>";
$strMessage .= "ThaiCreate.Com<br>";
$flgSend = mail($strTo,$strSubject,$strMessage,$strHeader);
จะเห็นว่า
Code (PHP)
$strMessage .= "https://www.thaicreate.com/activate.php?sid=".session_id()."&uid=".$Uid."<br>";
ส่ง sid ไปด้วย โดย sid ตัวนี้เก็บลงในฐานข้อมูลเช่นเดียวกัน เพื่อไว้ยืนยัน Link ครับ
Go to : PHP Member Register and Email Activation ยืนยันการสมัครสมาชิกทางอีเมล์
|
 |
 |
 |
 |
| Date :
2011-12-06 09:53:19 |
By :
webmaster |
|
 |
 |
 |
 |
|
|
 |
 |
|
 |
 |
| |
|
|
|
| |
|
เพิ่มเติมว่า sid นี้อาจจะกำหนดเอง หรือสร้างขึ้นเอง ผ่านการ md5 หรือเข้ารหัสอ่าน ๆ ก็แล้วแต่จะสะดวกครับ
|
| |
|
|
| |
| Date :
2011-12-06 09:53:55 |
By :
webmaster |
|
|
| |
|
|
|
|
|
| |
|
|
|
| |
|
|
|
| |
|
ทุกทีเคยแต่ ส่งlink ยืนยัน โดยอาจจะสร้าง 1 page ที่ รับค่า userid แล้วทำการupdate ข้อมูล status ยืนยันสถานะก็ได้
แต่ถ้าหากต้องการความปลอดภัยในการส่ง link การยืนยัน อาจจะมีการ encode userid ก็ได้ไม่รู้มีวิธีอื่นหรือเปล่านะ
|
| |
|
|
| |
| Date :
2011-12-06 09:54:31 |
By :
LuckyStar |
|
|
| |
|
|
|
|
|
| |
|
|
|
| |
|
|
|
| |
|
สิ่งที่ผมกังวล คือ มีคน Copy url แล้วไปใช้งานครับ เพราะงานที่ทำเกี่ยวกับ Permission ของ User แต่ละคนด้วย
แต่จะให้คลิกที่ลิงค์แล้ว ไม่ให้ติด username password ไปกับลิงค์ ก็จะไม่สะดวกในกรณีที่เป็นบุคคลที่ให้ใช้งานจริงครับ
ผมขอยกตัวอย่างเช่น
ผมได้ร้องขอให้ทำงานผ่านทางเว็บ หลังจากที่ของานแล้ว ระบบจะส่งข้อมูลไปยังหัวหน้าแผนกเพื่อทำการยืนยันผ่านทางอีเมลล์
เมื่อหัวหน้าแผนกเช็คอีเมลล์ ก็จะได้ link ตัวอย่างเช่น confirm.php?id='12345'&user='user_confirm'
หลังจากที่คลิกไปแล้ว ระบบจะเช็คว่ามีค่า user และ id หรือไม่ถ้ามี ก็จะยอมให้ผ่าน
แต่นี่แหละครับที่เป็นปัญหาตรงที่ว่า ถ้ามีคน copy url นี้ไป ก็จะสา่มารถเ้ข้าระบบได้ทันที แต่ถ้าผมจะทำให้ต้อง login ก่อนเข้า
จะทำให้ส่วนหัวหน้าแผนก เสียเวลาในการเข้าถึงข้อมูลครับ T-T
เดี่ยวจะลองทำตามคำแนะนำของท่านทั้งสองก่อนครับ ท่านอื่นถ้ามีไอเดียเพิ่มอย่างไร ลองเพิ่มเติมได้ครับ
|
ประวัติการแก้ไข
2011-12-06 10:37:41
| |
|
|
| |
| Date :
2011-12-06 10:31:08 |
By :
yoojuy |
|
|
| |
|
|
|
|
|
| |
|
|
|
| |
|
|
|
| |
|
ผมตาม #ref ที่ผมบอกครับ ป้องกันได้แน่นอนครับ 
|
| |
|
|
| |
| Date :
2011-12-06 10:39:34 |
By :
webmaster |
|
|
| |
|
|
|
|
|
| |
|
|
|
| |
|
|
|
| |
|
อืมมมม session_id() แต่ละเครื่องไม่เหมือนกัน แต่
แต่ละ brower มี session_id ต่างกันงี้ต้องบอกให้คนที่ยืนยันว่าเปิด brower ไหนด้วยหรือเปล่าค่ะ
ขอถามอีกคำถามนึงนะค่ะพี่วิน
$strMessage .= "https://www.thaicreate.com/activate.php?sid=".session_id()."&uid=".$Uid."<br>";
งี้ถ้าคนเอาurl ไปรันจะป้องกันยังไงค่ะ หรือจำกัดว่าsession ต้องเป็น sessionเครื่องหัวหน้าแผนก
|
| |
|
|
| |
| Date :
2011-12-06 13:18:37 |
By :
LuckyStar |
|
|
| |
|
|
|
|
|
| |
|
|
|
| |
|
|
|
| |
|
กำ
คนอื่นมันเห็น มันจะป้องกันยังไงล่ะคับ
วิธีการ เวลามี ref ไม่จำเป็นต้องมี user ติดไปหรอก เราเก็บไว้เอง user อ่ะ ที่ gen พร้อมกับ ref
เวลาเขาเข้าลิงค์มา ให้ใส่รหัสผ่านส่วนตัว ที่รู้เฉพาะตัวเขาเอง ก็เป็นอีกทางเลือกหนึ่ง
แต่จริงๆ แล้ว ควรส่งอีเมลส่วนบุคคล เหมาะสมที่สุดคับ
|
| |
|
|
| |
| Date :
2011-12-06 13:22:56 |
By :
pjgunner.com |
|
|
| |
|
|
|
|
|
| |
|
|
|
|
|
| |
|
 Load balance : Server 01
|
