Autoryzacja użytkownika, co lepsze??? Opcje

[Citral]

Witam, mam pytanie do osób, które stworzyły już wiele serwisów, na które użytkownik musi się zalogować. Co jest lepsze - przechowywanie w sesji loginu i hasła użytkownika i sprawdzanie ich poprawności po każdym wejściu na jakąkolwiek stronę serwisu (poprzez połączenie się z bazą) czy może lepiej po poprawnym zalogowaniu użytkownika ustawić jakąś zmienną "logowanie" na 1 i sprawdzanie jej wartości na każdej kolejnej stronie czy użytkownik jest zalogowany?

[[fisher]]

moim zdaniem lepszy jest pierwszy sposób, ponieważ jest dużo bezpieczniejszy....
Jezeli ktos przejmie sesje to przeciez przejmie login i haslo zapsiane w niej.
To samo tyczy sie przejecia sesje ze zmienna z informacja o zalogowaniu.
Reasumujac: oba rozwiazania sa tak samo bezpieczne, ale to pierwsze jest poprostu nie potrzbne, malo eleganckie i malo wydajne.

Oczywiscie pamietajac o odpowiednim ustawieniu register_globals zeby nie dac szans cfaniaczkom probujacym napdisac sesje tak login.php?Zalogowany=1
Moze ciezko zgadnac to przy zamknietych projektach ale jesli otworzysz kod to mozesz sie spodziewac przykrych niespodzianek (np. Twoj nowy CMS na hostingu z register_globals=Off)
Mowie to bo jeszcze wiele serwerow ma wlaczone register_globals

Jesli przechowujesz haslo zahaszowane md5 (a raczej powinno sie tak robic) to wydaje mi sie ze pierwsza metoda jest mimo wszystko bezpieczniejsza (raczej nic nie da podpatrzenie hasla tzn 'haszy')

A co do wydajnosci? Jesli uzywasz persistent connections, haslo mozesz przekazywac na wypadek rozlaczenia.
Jesli uzywasz polaczen stalych i tak musisz sie polaczyc za kazdym przeladowaniem skryptu.

Tak wiec nie wydaje mi sie ze przechowywanie hasla w sesji jest mniej wydajne Seth