zabezpieczenie zalogowanego uzytkownika |
zabezpieczenie zalogowanego uzytkownika |
26.01.2016, 15:20:58
Post
#1
|
|
Grupa: Zarejestrowani Postów: 294 Pomógł: 4 Dołączył: 19.12.2008 Ostrzeżenie: (0%) |
hej mam pytanie - zrobilem prosty skrypt logowania. Uzytkownik loguje sie, sprawdzam login i haslo czy pasuje w bazie danych (haslo kodowanie z sola md5 i sha1) i jesli jest okey - dodaje sesje w bazie danych (losowy ciag znakow) i dodaje ciasteczko z wartoscia tego losowego ciagu znakow. Warunek sprawdzjacy czyt ktos jest zalogowany, to sprawdzenie tego ciasteczka, czy wystepuje w bazie, jesli tak - to jaki user. Jesli sie znajduje, to do tego co znalazlo - jestes zalogowany. Jak to mozna jeszcze bardziej zabezpieczyc? (oprocz xss i sql inject typowych). Ciacho oczywiscie z httpOnly.
-------------------- ---
"kto pyta ten nie błądzi"... |
|
|
26.01.2016, 15:44:46
Post
#2
|
|
Grupa: Zarejestrowani Postów: 915 Pomógł: 210 Dołączył: 8.09.2009 Skąd: Tomaszów Lubelski/Wrocław Ostrzeżenie: (0%) |
Używaj password_hash() i password_verify().
I pozwól PHP zająć się mechanizmem sesji, a nie wymyślaj go od nowa. https://secure.php.net/manual/en/session.configuration.php -------------------- |
|
|
27.01.2016, 16:47:05
Post
#3
|
|
Grupa: Zarejestrowani Postów: 294 Pomógł: 4 Dołączył: 19.12.2008 Ostrzeżenie: (0%) |
No okey, czyli trzymac w sesji zamiast w ciasteczku sesje? I tyle w mozliwosciach zabezpieczenia? Moze jakies inne procedury sie stosuje do zabezpieczania logowania?
-------------------- ---
"kto pyta ten nie błądzi"... |
|
|
27.01.2016, 17:12:17
Post
#4
|
|
Grupa: Zarejestrowani Postów: 872 Pomógł: 94 Dołączył: 31.03.2010 Ostrzeżenie: (0%) |
A co jeszcze chcesz zabezpieczać? Hash powinien być na tyle długi, żeby nie dało się go w prosty sposób odgadnąć. Poza tym sesja powinna działać na zasadzie tokenów:
1. dostajesz token na 1 zapytanie 2. Jak wykonujesz zapytanie i podany token się zgadza, to generuje Ci nowy token 3. Wróć do pkt. 1 Do realizacji powyższego najlepiej użyj natywnego mechanizmu sesji + funkcji session_regenerate_id. |
|
|
27.01.2016, 21:41:01
Post
#5
|
|
Grupa: Zarejestrowani Postów: 294 Pomógł: 4 Dołączył: 19.12.2008 Ostrzeżenie: (0%) |
Dzięki! Już wdrażam
-------------------- ---
"kto pyta ten nie błądzi"... |
|
|
Wersja Lo-Fi | Aktualny czas: 28.03.2024 - 12:24 |