logi w systemie logowania

logi w systemie logowania

mis Zobacz profil	11.12.2011, 12:46:47 Post #1
Grupa: Zarejestrowani Postów: 71 Pomógł: 2 Dołączył: 25.04.2010 Ostrzeżenie: (0%)	Hej, stworzyłem systemik logowania, teraz chce dodać kolejne zabezpieczenie jakim jest ilość prób logowania. Wydaje mi się, że najlepszym wyjściem jest stworzenie nowej tabeli, gdzie będzie zapis ost. logowanie,id,ip,user agent itp i sprawdzać stąd ostatnie logowania. potem można zrobić zakładkę 'historia logowań'. Potem np. wpisy starcze niż 30dni kasować. Gdy ilość wpisów(gdzie np. kolumna status = 1 - czyli błędne logowania) będzie np. >= 5 i czas nie większy niż np. 1h wtedy blokuje konto na 20min. Niestety każdy będzie mógł zablokować innej osobie konto, ale na to chyba nie da rady nic poradzić? Jak myślicie? Jak takie coś najlepiej rozwiązac

Odpowiedzi

Crozin Zobacz profil	12.12.2011, 00:26:33 Post #2
Grupa: Zarejestrowani Postów: 6 476 Pomógł: 1306 Dołączył: 6.08.2006 Skąd: Kraków Ostrzeżenie: (0%)	1. Wymuszenia na ilość znaków czy rodzaj znaków w haśle są wyjątkowo irytujące - nie Twój, jako administratora interes jakie jest moje hasło. Lepiej podawaj na bieżąco podczas jego wpisywania jego "siłę", którą to już możesz sobie w dowolny sposób oszacować. Ale jak będę chciał założyć jakieś śmieciowe konto z hasłem "qwerty" to daj mi je założyć. 2. Jak już wspomniano: nie blokuj konta, a wymuszaj wpisanie jakiejś CAPTCHA-y - to znacznie wygodniejsze rozwiązanie dla użytkowników. 3. Składować najprawdopodobniej wystarczy podstawowe dane: datę i czas, IP, id użytkownika (jeżeli w ogóle istnieje) - o przechowywaniu adresu IP możesz poczytać tutaj: http://forum.php.pl/index.php?showtopic=188630&hl= 4. Nigdy nie wyświetlaj hasła użytkownika (dotyczy to również pola typu password), a już szczególnie na stronach niezabezpieczonych SSL-em. Jak już to dodaj opcję "[x] pokaż hasło", które przy pomocy JS zamieni pole typu password na text po stronie klienta. 5. Informacje o nieudanych logowaniach musisz przechowywać w bazie danych - może to być tabela przechowywana bezpośrednio w pamięci, w przypadku MySQL jest to typ HEAP / MEMORY. Sesje można bez problemu zrestartować dla każdego żądania. Ba! Trzeba zadać sobie nieco trudu by ją w ogóle podtrzymać, dlatego też większość takich robotów tego nawet nie próbuje robić. 6. Sam nagłówek Location nie gwarantuje przekierowania, dlatego też po jego wystąpieniu powinieneś zawsze wyświetlić chociażby najprostszy dokument HTML w stylu: [HTML] pobierz, plaintext ... <html ...><head>...</head><body><p>Przekierowanie na <a href="URL">URL</a>.</p></body></html> [HTML] pobierz, plaintext Oraz zakończyć działanie skryptu - exit.

Posty w temacie

mis logi w systemie logowania 11.12.2011, 12:46:47

tehaha nie blokuj po nicku, bo wtedy jakiś dowcipniś zabl... 11.12.2011, 15:42:19

mis po 1 przepraszam za 2 tematy takie same(coś mi się... 11.12.2011, 18:48:51

tehaha No ale powiedz mi po co blokować dostęp użytkownik... 11.12.2011, 19:26:56

marins W jednym z moich portali dałem możliwość 10 błędny... 11.12.2011, 22:25:06

mis [PHP] pobierz, plaintext if($_SESSION['log... 11.12.2011, 23:18:22

tehaha Cytatilość znaków w haśle itp, obsługuje jquery (j... 12.12.2011, 00:04:41

mis Cytat(tehaha @ 12.12.2011, 00:04:41 )... 12.12.2011, 00:07:04

Crozin 1. Wymuszenia na ilość znaków czy rodzaj znaków w ... 12.12.2011, 00:26:33

mis Dzięki za cenne porady! a powiedzcie mi, jeże... 12.12.2011, 01:56:11

Crozin Dlaczego miałbyś coś związanego stricte z logowani... 12.12.2011, 09:02:51

mis Cytat(Crozin @ 12.12.2011, 09:02:51 )... 12.12.2011, 09:25:35

« Następny starszy · PHP · Następny nowszy »

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Aktualny czas: 15.10.2025 - 03:12

Hosting zapewnia

Forum PHP.pl