Регистрация
Регистрируясь, вы подтверждаете свое согласие с соглашением об использовании персональных данных.
Восстановление пароля

Защита ссылок на заказы от перебора

02.09.2014, 16:29
fduch
Корпорация монстров

Зарегистрирован:
2011-03-16
Сообщений: 24

В системе netcat, по умолчанию, Интеренет-магазин работает с ссылками вида /catalog/cart/order/Order_1050.html
или около того.

Как собственно обезопасить перебор заказов неавторизованными пользователями?
Кто что использует, быть может есть стандартные методы?

Делай то, чего другие не делают.
02.09.2014, 20:55
Вячеслав
Студия "Кронос"
Вячеслав

Зарегистрирован:
2013-04-12
Сообщений: 91

Вообще в каждом разделе можно настроить доступ для разных групп пользователей
02.09.2014, 21:10
fduch
Корпорация монстров

Зарегистрирован:
2011-03-16
Сообщений: 24

а как тогда по вашему неавторизованный пользователь сформирует себе заказ, сможет его посмотреть, но при этом не сможет посмотреть аналогичные другие заказы просто изменив ID в адресе?

Делай то, чего другие не делают.
03.09.2014, 12:07
Nexwich
Панасин Александр
Nexwich

Зарегистрирован:
2011-04-05
Сообщений: 1037

В готовом решении используется запись хеша в базу и сессию (для увеличения срока можете в куки) пользователя. Чем вам не подходит?

Модуль "Почтовые уведомления" – настройка email уведомлений на вашем сайте без программирования. Бесплатно. http://netcat.ru/products/CatStore/solution_242.html
03.09.2014, 12:37
fduch
Корпорация монстров

Зарегистрирован:
2011-03-16
Сообщений: 24

Цитата:
В готовом решении используется запись хеша в базу и сессию (для увеличения срока можете в куки) пользователя. Чем вам не подходит?

Я думал на тему хеша в поле f_Keyword
Интересуюсь чем люди пользуются.

Делай то, чего другие не делают.
03.09.2014, 19:36
Nexwich
Панасин Александр
Nexwich

Зарегистрирован:
2011-04-05
Сообщений: 1037

Еще в готовом решение так же используется после оформления заказа регистрация и авторизация.

Модуль "Почтовые уведомления" – настройка email уведомлений на вашем сайте без программирования. Бесплатно. http://netcat.ru/products/CatStore/solution_242.html
03.09.2014, 21:42
fduch
Корпорация монстров

Зарегистрирован:
2011-03-16
Сообщений: 24

Цитата:
Еще в готовом решение так же используется после оформления заказа регистрация и авторизация.

в 4.71 еще не было
это в 5-ке появилось?

Делай то, чего другие не делают.
04.09.2014, 12:41
Nexwich
Панасин Александр
Nexwich

Зарегистрирован:
2011-04-05
Сообщений: 1037

Да. Выполнить это на любой версии не проблема.

Модуль "Почтовые уведомления" – настройка email уведомлений на вашем сайте без программирования. Бесплатно. http://netcat.ru/products/CatStore/solution_242.html
04.09.2014, 13:01
fduch
Корпорация монстров

Зарегистрирован:
2011-03-16
Сообщений: 24

Цитата:
Да. Выполнить это на любой версии не проблема.

Я верю в то что на неткэте можно реализовать абсолютно все! но вы пишите, что это есть в "готовом решении"
вот и спрашиваю, где же это есть, что я не заметил.

Делай то, чего другие не делают.
05.09.2014, 10:12
Nexwich
Панасин Александр
Nexwich

Зарегистрирован:
2011-04-05
Сообщений: 1037

http://16182.sitemanager.ru/netcat/admin/#dataclass_fs.customadd(224)
admin admin

http://joxi.ru/6FIJVP3JTJDwNLaIXuA - Выделена часть по регистрации.
Далее его сохранение в базе, это ошибка (функция работает как зря да и не дописана). Используйте вместо нее
Код:
$nc_core->db->query("UPDATE Message".$classID." SET user_hash='".$_SESSION['user_hash']."' WHERE Message_ID=".$message."");

http://joxi.ru/31MJVIwyTJDkAhK8iB0

Вы интересовались видами решений, вот я не разу не дал пример.

Модуль "Почтовые уведомления" – настройка email уведомлений на вашем сайте без программирования. Бесплатно. http://netcat.ru/products/CatStore/solution_242.html
05.09.2014, 11:19
fduch
Корпорация монстров

Зарегистрирован:
2011-03-16
Сообщений: 24

Цитата:
http://16182.sitemanager.ru/netcat/admin/#dataclass_fs.customadd(224)
admin admin

http://joxi.ru/6FIJVP3JTJDwNLaIXuA - Выделена часть по регистрации.
Далее его сохранение в базе, это ошибка (функция работает как зря да и не дописана). Используйте вместо нее
Код:
$nc_core->db->query("UPDATE Message".$classID." SET user_hash='".$_SESSION['user_hash']."' WHERE Message_ID=".$message."");

http://joxi.ru/31MJVIwyTJDkAhK8iB0

Вы интересовались видами решений, вот я не разу не дал пример.

Это появилось в пятерке.
Премного благодарен.
Буду пользовать в проектах.

Делай то, чего другие не делают.
198 196 2014-09-05 11:19:40 13794
Описание проекта