0 Пользователей и 1 Гость просматривают эту тему.
  • 15 Ответов
  • 420 Просмотров
*

platonische

  • Давно я тут
  • 320
  • 0
  • Парусные экспедиции vk.com/tc670
Думаю к виду "ЗАКАЗЫ" к каждому id прикрепить какую-нибудь индивидуальную переменную хэш-сумму или случайную генерацию для того чтоб никто просто так не мог обратиться к элементу из FrontEnd.

Чтоб ссылка была для пользователя на оплату без регистрации, я думаю все понимают или на крайний случай меня поправят.

Подскажите направления для реализации. Есть ли чего в J! стандартного для подобных реализаций?
« Последнее редактирование: 16.03.2016, 23:30:22 от platonische »
Парусные экспедиции http://vk.com/tc670, сплавы на байдарках http://vk.com/magnittv_turism
*

dmitry_stas

  • Профи
  • 9980
  • 946
Re: Каждому элементу вида свой токен
« Ответ #1 : 16.03.2016, 21:56:31 »
чем обычный md5 не подходит? не думаю что нужно что то сложнее в данном случае.
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

Aleks.Denezh

  • Практически профи
  • 2806
  • 377
Re: Каждому элементу вида свой токен
« Ответ #2 : 16.03.2016, 22:05:49 »
<?php echo JHtml::_( 'form.token' ); ?> для формы
Проверка: if(!JFactory::getSession()->checkToken()) die('Пока хацкер');

Для простого гет запроса модно например так:
<a href="index.php?param1=1&params2=2&<?php echo JSession::getFormToken(). '=1'; ?>">Ссылка</a>
Проверка: if(!JFactory::getSession()->checkToken('get')) die('Пока хацкер');
Мой  блог по разработке на Joomla CMS!
Хотите отблагодарить материально? Мой WMR: R861060179016
*

zomby6888

  • Живу я здесь
  • 1484
  • 167
Re: Каждому элементу вида свой токен
« Ответ #3 : 16.03.2016, 22:11:28 »
Цитировать
<a href="index.php?param1=1&params2=2&<?php echo JSession::getFormToken(). '=1'; ?>">Ссылка</a>

Но это временная ссылка. После истечении сессии она окажется неработоспособной. Если нужна постоянная случайная строка:


http://stackoverflow.com/a/4356295


Там же есть ссылка на безопасный вариант.
« Последнее редактирование: 16.03.2016, 22:27:47 от zomby6888 »
интернет-блог: http://websiteprog.ru
*

platonische

  • Давно я тут
  • 320
  • 0
  • Парусные экспедиции vk.com/tc670
Re: Каждому элементу вида свой токен
« Ответ #4 : 16.03.2016, 23:29:45 »

http://stackoverflow.com/a/4356295

Думаю то что надо! Цель: оградить от прямого захода типа ?id=2 и сделать ?id=2&key=kdspSaqew0(бла бла бла)
Чтобы ссылка лежала лично у человека на почтовике и он мое ею пользоваться без регистрации, а я мог определить что это именно он, конечно же "ОН". Чтоб не светились всем подряд заказы с именами и суммами.
Думаю тему можно закрыть.
Парусные экспедиции http://vk.com/tc670, сплавы на байдарках http://vk.com/magnittv_turism
*

dmitry_stas

  • Профи
  • 9980
  • 946
Re: Каждому элементу вида свой токен
« Ответ #5 : 17.03.2016, 08:50:29 »
как то это слишком сложно :) в php есть http://php.net/manual/ru/function.uniqid.php. или как я уже сказал обычно в таких случаях используется что то типа
Код
md5($order_id.time());
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

Aleks.Denezh

  • Практически профи
  • 2806
  • 377
Re: Каждому элементу вида свой токен
« Ответ #6 : 17.03.2016, 10:59:40 »

Думаю то что надо! Цель: оградить от прямого захода типа ?id=2 и сделать ?id=2&key=kdspSaqew0(бла бла бла)
Чтобы ссылка лежала лично у человека на почтовике и он мое ею пользоваться без регистрации, а я мог определить что это именно он, конечно же "ОН". Чтоб не светились всем подряд заказы с именами и суммами.
Думаю тему можно закрыть.
На сайте ничего из того что вам надо не описанно!
Вам в любом случае надо
1. для таблицы где у вас заказы добавлять поле где вы будете писать какой то ключ
2. когда пользователь делает что угодно по заказа, в поле с хешем пишете какой то хеш например md5(time().mt_rand());
3. У пользователя ссылка только ?key=hash
4. при входе в вид делаете выборку из таблицы по хешу! Если запись есть, выводите, если нет то ошибку выдаете!

Добавлять какой то ключ которого нет в базе нет смысла! Ибо
Мой  блог по разработке на Joomla CMS!
Хотите отблагодарить материально? Мой WMR: R861060179016
*

platonische

  • Давно я тут
  • 320
  • 0
  • Парусные экспедиции vk.com/tc670
RE: Каждому элементу вида свой токен
« Ответ #7 : 17.03.2016, 11:18:33 »
На сайте ничего из того что вам надо не описанно!
Вам в любом случае надо
1. для таблицы где у вас заказы добавлять поле где вы будете писать какой то ключ
2. когда пользователь делает что угодно по заказа, в поле с хешем пишете какой то хеш например md5(time().mt_rand());
3. У пользователя ссылка только ?key=hash
4. при входе в вид делаете выборку из таблицы по хешу! Если запись есть, выводите, если нет то ошибку выдаете!

Добавлять какой то ключ которого нет в базе нет смысла! Ибо


Я это понимаю, спасибо. Конечно же ключ должен лежать в базе а не генериться налету и сверяться. Единственно отдельно поблагодарю за совет убрать id из get запроса - это думаю будет лучше.
Парусные экспедиции http://vk.com/tc670, сплавы на байдарках http://vk.com/magnittv_turism
*

dmitry_stas

  • Профи
  • 9980
  • 946
RE: Каждому элементу вида свой токен
« Ответ #8 : 17.03.2016, 11:29:40 »
убрать id из get запроса - это думаю будет лучше
а почему? ведь order_id=...&order_hash=... надежнее, чем просто order_hash=...
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

platonische

  • Давно я тут
  • 320
  • 0
  • Парусные экспедиции vk.com/tc670
RE: Каждому элементу вида свой токен
« Ответ #9 : 17.03.2016, 11:40:26 »
а почему? ведь order_id=...&order_hash=... надежнее, чем просто order_hash=...
Задумался сейчас об этом - ведь надо будет для админке и фронтэнда разные обработки по таблице делать если удрать id - думаю оставлю
Парусные экспедиции http://vk.com/tc670, сплавы на байдарках http://vk.com/magnittv_turism
*

zomby6888

  • Живу я здесь
  • 1484
  • 167
Re: Каждому элементу вида свой токен
« Ответ #10 : 17.03.2016, 16:54:34 »
как то это слишком сложно :) в php есть http://php.net/manual/ru/function.uniqid.php. или как я уже сказал обычно в таких случаях используется что то типа
Код
md5($order_id.time());

Такой хэш легко подобрать. Достаточно знать ид заказа и время когда он был совершен. Можно и не знать, просто методом перебора. Кстатии, Joomla когда генерит свой токен для формы использует похожий алгоритм, что там описан так что можно и методом getFormToken() воспользоватся  
« Последнее редактирование: 17.03.2016, 16:58:30 от zomby6888 »
интернет-блог: http://websiteprog.ru
*

dmitry_stas

  • Профи
  • 9980
  • 946
RE: Каждому элементу вида свой токен
« Ответ #11 : 17.03.2016, 17:50:17 »
хорошо, пусть будет md5($order_id.uniqid('', true)) :)
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

zomby6888

  • Живу я здесь
  • 1484
  • 167
Re: Каждому элементу вида свой токен
« Ответ #12 : 17.03.2016, 18:18:47 »
Ну надо же выбирать оптимальный вариант, а на странице с описанием функции uniqid красным выделено:
Цитировать
Внимание
Эта функция не создает ни случайную ни трудно подбираемую строку. Нельзя использовать эту функцию в целях повышения безопасности. Используйте криптографически безопасные функции/генераторы случайных данных, и криптографически защищенные хэш-функции для создания непредсказуемых безопасных ID.


Если просто случаный ид нужен то можно юзать вполне, для создания безопасного хеша это не вариант...
интернет-блог: http://websiteprog.ru
*

dmitry_stas

  • Профи
  • 9980
  • 946
RE: Каждому элементу вида свой токен
« Ответ #13 : 17.03.2016, 19:35:18 »
для создания безопасного хеша это не вариант...
надпись эту я знаю :) можете показать метод кроме прямого перебора, как вы подберете такой хеш? :)
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

zomby6888

  • Живу я здесь
  • 1484
  • 167
RE: Каждому элементу вида свой токен
« Ответ #14 : 17.03.2016, 20:38:34 »
Ландо, в конце концов это ваше дело или ваших заказчиков как вы будете хэш генерить. Я лишь предложил более менее безопасный вариант. Я не вижу смысла доказывать то о чем сами разработчики PHP пишут.
интернет-блог: http://websiteprog.ru
*

fsv

  • Практически профи
  • 2524
  • 367
RE: Каждому элементу вида свой токен
« Ответ #15 : 18.03.2016, 01:44:48 »
В Virtuemart3 номер заказа, приходящий на почту:
/index.php?option=com_virtuemart&view=orders&layout=details&order_number=1SEX08&order_pass=p_ddB3PYiJ
В таблице заказов - поле order_pass .
Создание order_pass : \administrator\components\com_virtuemart\models\orders.php  static public function genStdOrderPass(). Плюс там подключение \administrator\components\com_virtuemart\helpers\vmcrypt.php  (virtuemart encrypt class, with some additional behaviours).
Если интересно, скачайте дистрибутив, посмотрите. Похоже на вышеуказанную ссылку на stackoverflow , только усложнили.
Заказать разработку:    расширения Joomla  |   интерфейсы на javascript(jQuery)  |  мобильные приложения
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться