سلام

بعضی سایت ها برای صفحه ثبت نام یا لینک خروج تهش یه کد هست که بهش میگن توکن یک بار مصرف!

چی هست این و چطوری میشه ساخت؟؟

توکن برای اعتبار سنجی کاربران واقعی سمت کلاینت و روبات هایی هستن که به صورت مثال با کارل نوشته میشن . هیچ روش خاصی برای ساختنش هیچ فرمول مشخصی نیست و برنامه نویس بسته به سلیقه خودش و البته تجربه اش فرمول نوشتن توکن رو تایین میکنه . خیلی از برنامه نویسا که بلد نیستن یا حالشو ندارن به قول معروف میان از این راه که ساده ترین و عامیانه ترین راهشه برای ساخت توکن استفاده میکنن :


md5(date("U"));
ولی خب برای ساخت توکن هیچ رمول خاص مشخصی یا هیچ تابع مشخصی وجود نداره که کسی بگه الا و لله این فرموله الا یا لله فقط md5 هستش . خود من در توکن اسکریپت های اختصاصیم از base64 و str_rot13 و gzinflate و تابع دست ساز خودم یعنی random_characters استفاده میکنم
حق

توکن برای اعتبار سنجی کاربران واقعی سمت کلاینت و روبات هایی هستن که به صورت مثال با کارل نوشته میشن . هیچ روش خاصی برای ساختنش هیچ فرمول مشخصی نیست و برنامه نویس بسته به سلیقه خودش و البته تجربه اش فرمول نوشتن توکن رو تایین میکنه . خیلی از برنامه نویسا که بلد نیستن یا حالشو ندارن به قول معروف میان از این راه که ساده ترین و عامیانه ترین راهشه برای ساخت توکن استفاده میکنن :


md5(date("U"));
ولی خب برای ساخت توکن هیچ رمول خاص مشخصی یا هیچ تابع مشخصی وجود نداره که کسی بگه الا و لله این فرموله الا یا لله فقط md5 هستش . خود من در توکن اسکریپت های اختصاصیم از base64 و str_rot13 و gzinflate و تابع دست ساز خودم یعنی random_characters استفاده میکنم
حق


ممنون

خب حالا میگیریم توکن رو به یک روشی ساختیم( کاری نداره تا اینجا)

حالا در مورد اعتبارسنجی کاربر واقعی و ربات چطور ازش استفاده کنم؟؟؟؟

ممنون

خب حالا میگیریم توکن رو به یک روشی ساختیم( کاری نداره تا اینجا)

حالا در مورد اعتبارسنجی کاربر واقعی و ربات چطور ازش استفاده کنم؟؟؟؟
ایمیل میکنید براش یا اس ام اس میدین
یک لینک که حاویه توکنه هست
در هر صورت بهترین راه حفاظت از سایت در مرحله ثبت نامه
برای توکن هم میتونید از کپچا استفاده کنید یا یک چک باکس خاص و هزار ترفند دیگه کوکی/ سشن و... بستگی به شما داره و ساختار کاریتون
ولی عموما اینکار رو نمیکنن

ممنون

خب حالا میگیریم توکن رو به یک روشی ساختیم( کاری نداره تا اینجا)

حالا در مورد اعتبارسنجی کاربر واقعی و ربات چطور ازش استفاده کنم؟؟؟؟

برای اعتبار سنجیش میتونید اون توکن* رو در نشست ها (SESSIONS) یا کوکی ها (COOKIES) ذخیرش کنید . داخل فرم ورود یا ثبت نام یا ... داخل تگ فرم یا حالا درخواست ایجکستون به صورت hidden بارگذاری کنید و بدینش به پارامتر های GET یا POST

از Google I am Not a Robot استفاده کن. توی گوگل جستجو کن روش بکارگیریش هست. زبان فارسی هم داره سایت های بزرگ دارن ازش استفاده میکنند.

از Google I am Not a Robot استفاده کن. توی گوگل جستجو کن روش بکارگیریش هست. زبان فارسی هم داره سایت های بزرگ دارن ازش استفاده میکنند.

ممنون


سایت فارسی میشناسی خوب توضیح داده باشه راه اندازیشو؟؟

سلام

بعضی سایت ها برای صفحه ثبت نام یا لینک خروج تهش یه کد هست که بهش میگن توکن یک بار مصرف!

چی هست این و چطوری میشه ساخت؟؟

برای جلوگیری از حملات csrf هست .
یه کد بسازید با استفاده از توابع uniqid یا md5 و ... و توی سشن ذخیره کنید .
در انتهای آدرس خروج هم بعنوان پارامتر بذارید .
در فایلی که عملیات خروج انجام میشه ، پارامتر رو با مقدار سشن مطابقت بدید.

گوگل هم بکنید مطالب بیشتری هست
https://www.google.com/search?num=100&newwindow=1&client=firefox-b-ab&q=%D8%AD%D9%85%D9%84%D8%A7%D8%AA+csrf&oq=%D8%AD%D9%85%D9%84%D8%A7%D8%AA+csrf&gs_l=serp.3...17133.20044.0.20635.0.0.0.0.0.0.0.0. .0.0....0...1c.1.64.serp..0.0.0.b_JzNUpY6Hk

حملات csrf که روی لینک خروج ایجاد میشه برای مزاحمته بیشتر
فرض کنید لینک خروج انجمن اینه
http://www.webhostingtalk.ir/login.php?do=logout
شما توی سایت خودت یه صفحه میذاری و توش مینویسی

<img src='http://www.webhostingtalk.ir/login.php?do=logout'>


بعد میای توی انجمن یه پست میذاری و آدرس سایتتو که کد بالا رو توش گذاشتی میذاری
هر کس بره توی آدرسه از انجمن پرت میشه بیرون
اما اگر token داشته باشه آدرس خروجت دیگه هر کسی آدرس خروج مخصوص به خودشو داره :)
امیدوارم تا حدی مساله روشن شده باشه برات .

برای جلوگیری از حملات csrf هست .
یه کد بسازید با استفاده از توابع uniqid یا md5 و ... و توی سشن ذخیره کنید .
در انتهای آدرس خروج هم بعنوان پارامتر بذارید .
در فایلی که عملیات خروج انجام میشه ، پارامتر رو با مقدار سشن مطابقت بدید.

گوگل هم بکنید مطالب بیشتری هست
https://www.google.com/search?num=100&newwindow=1&client=firefox-b-ab&q=%D8%AD%D9%85%D9%84%D8%A7%D8%AA+csrf&oq=%D8%AD%D9%85%D9%84%D8%A7%D8%AA+csrf&gs_l=serp.3...17133.20044.0.20635.0.0.0.0.0.0.0.0. .0.0....0...1c.1.64.serp..0.0.0.b_JzNUpY6Hk

حملات csrf که روی لینک خروج ایجاد میشه برای مزاحمته بیشتر
فرض کنید لینک خروج انجمن اینه
http://www.webhostingtalk.ir/login.php?do=logout
شما توی سایت خودت یه صفحه میذاری و توش مینویسی

<img src='http://www.webhostingtalk.ir/login.php?do=logout'>


بعد میای توی انجمن یه پست میذاری و آدرس سایتتو که کد بالا رو توش گذاشتی میذاری
هر کس بره توی آدرسه از انجمن پرت میشه بیرون
اما اگر token داشته باشه آدرس خروجت دیگه هر کسی آدرس خروج مخصوص به خودشو داره :)
امیدوارم تا حدی مساله روشن شده باشه برات .

ممنون عالی بود