Регистрация
Вход через соцсети
Восстановление пароля

Защита ссылок на заказы от перебора

Новый топик
02.09.2014, 16:29
Ответить | Цитировать
fduch
Корпорация монстров

Зарегистрирован:
2011-03-16
Сообщений: 24

В системе netcat, по умолчанию, Интеренет-магазин работает с ссылками вида /catalog/cart/order/Order_1050.html
или около того.

Как собственно обезопасить перебор заказов неавторизованными пользователями?
Кто что использует, быть может есть стандартные методы?

Делай то, чего другие не делают.
02.09.2014, 20:55
Ответить | Цитировать
Вячеслав
ruCreate
Вячеслав

Зарегистрирован:
2013-04-12
Сообщений: 87

Вообще в каждом разделе можно настроить доступ для разных групп пользователей
02.09.2014, 21:10
Ответить | Цитировать
fduch
Корпорация монстров

Зарегистрирован:
2011-03-16
Сообщений: 24

а как тогда по вашему неавторизованный пользователь сформирует себе заказ, сможет его посмотреть, но при этом не сможет посмотреть аналогичные другие заказы просто изменив ID в адресе?

Делай то, чего другие не делают.
03.09.2014, 12:07
Ответить | Цитировать
Nexwich
Панасин Александр
Nexwich

Зарегистрирован:
2011-04-05
Сообщений: 943

В готовом решении используется запись хеша в базу и сессию (для увеличения срока можете в куки) пользователя. Чем вам не подходит?

Модуль "Почтовые уведомления" – настройка уведомлений на вашем сайте без программирования. Цена отзыв. Мне очень важно ваше мнение.
03.09.2014, 12:37
Ответить | Цитировать
fduch
Корпорация монстров

Зарегистрирован:
2011-03-16
Сообщений: 24

Цитата:
В готовом решении используется запись хеша в базу и сессию (для увеличения срока можете в куки) пользователя. Чем вам не подходит?

Я думал на тему хеша в поле f_Keyword
Интересуюсь чем люди пользуются.

Делай то, чего другие не делают.
03.09.2014, 19:36
Ответить | Цитировать
Nexwich
Панасин Александр
Nexwich

Зарегистрирован:
2011-04-05
Сообщений: 943

Еще в готовом решение так же используется после оформления заказа регистрация и авторизация.

Модуль "Почтовые уведомления" – настройка уведомлений на вашем сайте без программирования. Цена отзыв. Мне очень важно ваше мнение.
03.09.2014, 21:42
Ответить | Цитировать
fduch
Корпорация монстров

Зарегистрирован:
2011-03-16
Сообщений: 24

Цитата:
Еще в готовом решение так же используется после оформления заказа регистрация и авторизация.

в 4.71 еще не было
это в 5-ке появилось?

Делай то, чего другие не делают.
04.09.2014, 12:41
Ответить | Цитировать
Nexwich
Панасин Александр
Nexwich

Зарегистрирован:
2011-04-05
Сообщений: 943

Да. Выполнить это на любой версии не проблема.

Модуль "Почтовые уведомления" – настройка уведомлений на вашем сайте без программирования. Цена отзыв. Мне очень важно ваше мнение.
04.09.2014, 13:01
Ответить | Цитировать
fduch
Корпорация монстров

Зарегистрирован:
2011-03-16
Сообщений: 24

Цитата:
Да. Выполнить это на любой версии не проблема.

Я верю в то что на неткэте можно реализовать абсолютно все! но вы пишите, что это есть в "готовом решении"
вот и спрашиваю, где же это есть, что я не заметил.

Делай то, чего другие не делают.
05.09.2014, 10:12
Ответить | Цитировать
Nexwich
Панасин Александр
Nexwich

Зарегистрирован:
2011-04-05
Сообщений: 943

http://16182.sitemanager.ru/netcat/admin/#dataclass_fs.customadd(224)
admin admin

http://joxi.ru/6FIJVP3JTJDwNLaIXuA - Выделена часть по регистрации.
Далее его сохранение в базе, это ошибка (функция работает как зря да и не дописана). Используйте вместо нее
Код:
$nc_core->db->query("UPDATE Message".$classID." SET user_hash='".$_SESSION['user_hash']."' WHERE Message_ID=".$message."");

http://joxi.ru/31MJVIwyTJDkAhK8iB0

Вы интересовались видами решений, вот я не разу не дал пример.

Модуль "Почтовые уведомления" – настройка уведомлений на вашем сайте без программирования. Цена отзыв. Мне очень важно ваше мнение.
05.09.2014, 11:19
Ответить | Цитировать
fduch
Корпорация монстров

Зарегистрирован:
2011-03-16
Сообщений: 24

Цитата:
http://16182.sitemanager.ru/netcat/admin/#dataclass_fs.customadd(224)
admin admin

http://joxi.ru/6FIJVP3JTJDwNLaIXuA - Выделена часть по регистрации.
Далее его сохранение в базе, это ошибка (функция работает как зря да и не дописана). Используйте вместо нее
Код:
$nc_core->db->query("UPDATE Message".$classID." SET user_hash='".$_SESSION['user_hash']."' WHERE Message_ID=".$message."");

http://joxi.ru/31MJVIwyTJDkAhK8iB0

Вы интересовались видами решений, вот я не разу не дал пример.

Это появилось в пятерке.
Премного благодарен.
Буду пользовать в проектах.

Делай то, чего другие не делают.
198 196 2014-09-05 11:19:40 13794
Описание проекта