![]() |
![]() |
![]()
Post
#1
|
|
Grupa: Zarejestrowani Postów: 623 Pomógł: 79 Dołączył: 16.01.2008 Ostrzeżenie: (0%) ![]() ![]() |
Zadałem ostatnio podobne pytanie ( http://forum.php.pl/index.php?showtopic=99301 ) ale niestety nie uzyskałem odpowiedzi, więc spróbuję inaczej.
Czy ogólnie koncepcja logowania via cookies jest prawidłowa? Działa to tak, że gdy zarejestrowany użytkownik się loguje i podaje prawidłowy login/hasło, tworzony jest cookie z owym loginem oraz md5 hasła. Gdy klika "wyloguj", cookie jest usuwany. Sprawdzenie, czy user jest zalogowany odbywa się poprzez sprawdzenie cookie - i porównanie loginu i md5 hasła z tymi prawidłowymi. Czy to jest prawidłowe? A jeśli tak, to dlaczego większość tutoriali upiera się przy użyaniu $_SESSION ? |
|
|
![]() |
![]()
Post
#2
|
|
Grupa: Zarejestrowani Postów: 439 Pomógł: 21 Dołączył: 28.06.2007 Skąd: Bielsko-Biała Ostrzeżenie: (0%) ![]() ![]() |
Cytat Jeszcze jedna drobnostka - domyślnie sesje wygasają natychmiast lub krótko po zamknięciu przeglądarki, prawda? Tym samym nieda się zrobić by serwis zapamiętywal pomiędzy sesjami fakt, iż user był zalogowany. Dałoby się męcząc się z ustawieniem session cookie timeout, ale czy zwykłe użycie cookies (bezpośrednio) nie jest łatwiejsze? zależy od ustawień przeglądarki/ustawien tego jak sie wysyła cookie(nie pamietam)Cytat No ale przecież jak strona będzie podatna na xss to nie ma znaczenia czy cookies czy sesje prawda? Kradnąc cookie można przecież ukraść id sesji, czy nie ? sesje sprawdzają jeszcze IP, system operacyjny, przeglądarkę, wersje etc...http://wortal.php.pl/wortal/artykuly/php/a...handler_czesc_i poczytaj może coś się dowiesz i zrobisz jak chcesz:) Co wg. Ciebie przeciw sessją a co za cookie - zapewne jakieś rozwiązania już są |
|
|
![]() ![]() |
![]() |
Aktualny czas: 12.10.2025 - 13:06 |