 Logowanie na bazie MySQL, a nie na sesjach - bezpieczne? |
| Logowanie na bazie MySQL, a nie na sesjach - bezpieczne? |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 117 Pomógł: 0 Dołączył: 12.11.2008 Ostrzeżenie: (0%) 
 |
Mam pomysł na zrobienie takiego logowania na bazie:
1. Nie ma sesji, ani cookies. 2. Struktura tabeli z sesjami: Kod +---------+------------+--------------+---------+------------+-------------+ | user_id | session_id | user_browser | user_ip | start_time | remember_me | +---------+------------+--------------+---------+------------+-------------+ Objaśnienia:
4. Remember_me: działa, jeśli jest dozwolone w konfiguracji. Pytania: 1. Czy to bezpieczne? Coś pominąłem? 2. Czy sprawdzać oprócz tego $_SERVER['X_FORWARDED_FOR']; //I czemu nie znalazłem tego w manualu? 3. Na ile powinienem ustawić domyślny czas trwania sesji (bo może być albo domyślny, albo na zawsze (remember_me może być 0 lub 1)). Ten post edytował infoo1 12.12.2008, 22:05:22 |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Moderatorzy Postów: 15 467 Pomógł: 1451 Dołączył: 25.04.2005 Skąd: Szczebrzeszyn/Rzeszów |
Cytat 1. 2 (i więcej) sesje się zlepiają w jedną, czyli user jest zalogowany w dwóch oknach na tej samej stronie, ale jako inny użytkownik (nie, nie multi-account. To jest konieczne, a nie chcę robić dodatkowych identyfikatorów.). Ale to przecież zależy od identyfikatora, a nie od miejsca zapisu danych. (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) Baza jest w tym wypadku jak nośnik - nieważne, czy płyta CD, czy DVD, zero, to zero, jeden, to jeden. Cytat 2. Zwykłe sesje są nieco przestarzałe. Heh, też mi argument. Pliki są szybsze w działaniu niż baza. Cytat Łatwiej hacknąć stronę na zwykłych sesjach, niż dobrze zrobioną na bazie (sprawdzałem). Udowodnij. Można mieć zrobioną na bazie i bardziej podatną na ataki niż w przypadku standardowego mechanizmu. To zależy, co i jak sprawdzasz, ale nie od miejsca zapisu! To, że zdumpuję dane do bazy, to nic nie zmieni. Sam fakt innego miejsca zapisu niewiele tu da. Ten post edytował erix 12.12.2008, 22:39:49 |
|
|
|
infoo1 Logowanie na bazie MySQL, a nie na sesjach - bezpieczne? 12.12.2008, 22:05:07 
Darti A że tak zapytam, jakie są powody do rezygnowania ... 12.12.2008, 22:20:36 infoo1 1. 2 (i więcej) sesje się zlepiają w jedną, czyli ... 12.12.2008, 22:33:35 Darti hmm
ok, z Twojego rozwiązania wychodzi mi jedynie,... 12.12.2008, 22:46:12 infoo1 1. Nie, nie pograć. To program, nie gra.
2. Tu mog... 12.12.2008, 22:55:41 Darti Ależ wszystko w porządku, sam nie polecam zachowyw... 12.12.2008, 23:10:11 infoo1 Nie do końca . Jeszcze jest $_SERVER['HTT... 12.12.2008, 23:16:28 Darti IE nie przekazuje sesji między oknami (czy też FF ... 12.12.2008, 23:39:14 infoo1 0) Ale jak sprawdzam browsera, to pokaże coś inneg... 12.12.2008, 23:57:34 Darti oj ... miałem na mysli dwa okna IE = dwie różne se... 13.12.2008, 00:07:25 infoo1 Cytatoj ... miałem na mysli dwa okna IE = dwie róż... 13.12.2008, 00:34:39 
Darti Cytat(infoo1 @ 13.12.2008, 00:34:39 )... 13.12.2008, 00:41:57 infoo1 Cytatno i skąd bierzesz zmienne $sid, $u... 18.12.2008, 19:38:03 pest Więc cała ta zabawa ma na celu:przeniesienie miejs... 19.12.2008, 08:58:41 ucho Strasznie to wszystko skomplikowane - do podstawow... 19.12.2008, 11:14:00 infoo1 To rezygnuję z sid w linku.
Cytat# ograniczenie i... 19.12.2008, 15:17:22 infoo1 Nie zawsze ma się dostęp do takich rzeczy
Jedna... 19.12.2008, 16:39:34 Mize Klasa User, u mnie jest modelem, a do obsługi mech... 19.12.2008, 17:00:18 infoo1 CytatKlasa User, u mnie jest modelem, a do obsługi... 19.12.2008, 17:03:29 Mize Dużo by pisać.
http://www.google.pl/search?q=php5... 19.12.2008, 17:13:42  |
|
Aktualny czas: 8.10.2025 - 10:33 |
