-2

Our website uses online software from a company called the DecoNetwork. It allows our customers to log in and keep track of their orders yadda yadda. I was able to use their code for a login form and use it on our custom website.

    <form action="http://cheapcustomtees.deco-apparel.com/user/login?mobi=0" method="post">             
    <input type="hidden" name="_pc_session_id" value="7eb5d16ed18b074967ee0cf333d24417"/>
    <input type="hidden" name="_pc_skey" value="wynkunatrixikuquunetycyxomynkozatrivozichardaru"/>
        Login: &nbsp;<input type="textbox" name="user[login]"/> &nbsp; &nbsp; 
        Password: &nbsp;<input type="password" name="user[password]"/>
        Remember me: &nbsp;<input type="checkbox" name="remember_me" value="1" checked="true" class="auto" />       
        <input type="submit" value="Login" class="bigbutton" style="font-size:10pt; font-family:Museo700; cursor:pointer;" />
    </form>

If possible, I would like to display content based on if the user is logged in or out. If logged out, show the login form. Otherwise, show something else.

Is something like this possible with someone else's sessions? If so, can you give me an example as I am still new with PHP?

4

1 回答 1

0

除非已设置,否则永远不可能使用会话或 3rd 方网站的 cookie。

理论上有几个漏洞可以让你这样做,例如..

  • 跨站点脚本(“XSS”)

不管它是完全非法的事实,你仍然需要用 cURL 做很多花哨的功夫来检查你通过 XSS 窃取的 cookie 是否是有效的、活跃的。您还必须幸运的是,用户使用的浏览器不会阻止反射型 XSS;假设你没有一个持久的。

此外,即使您设法获得了 cookie,您仍然必须幸运的是,第三方的会话管理不是基于 IP 地址的。

除了漏洞或已设置为进行奇怪类型授权的网站之外,这是不可能的,也不应该是可能的(这将构成严重的安全威胁)。

如果您不想存储用户的任何敏感信息,例如密码,那么最接近您想到的是 OpenID。

于 2013-04-23T20:17:23.373 回答