 [PHP] Względnie bezpiecznie logowanie na sesjach |
  |
| [PHP] Względnie bezpiecznie logowanie na sesjach |
| -lukasamd- |
 19.01.2010, 15:14:40
Post
#1
|
|
Goście  |
Witam,
mam pytanie czy mechanizm logowania działający na sesjach jest w miarę bezpieczny. Wyczytałem nieco na kilku serwisach no i na początku przerzucam do cookies aby nie można było nic grzebać w adresach: Kod ini_set('session.use_only_cookies', 'on'); W samych sesjach trzymam dane sprawdzane przy każdej odsłonie: - ID usera - częściowo zahashowane hasło (załóżmy że md5x1, zaś w bazie jest md5x2) - IP Jeżeli dane są prawdziwe, dodatkowo robię regenerację: Kod session_regenerate_id(); "Ma to to ręce i nogi?" 
|
 |
 
|
|
19.01.2010, 16:06:49
Post
#2
|
|
 Grupa: Zarejestrowani Postów: 1 182 Pomógł: 115 Dołączył: 4.03.2009 Skąd: Myszków Ostrzeżenie: (0%) 
|
Po co w sesji trzymać hasło? Na dodatek hashować je drugi raz przy wprowadzaniu do bazy? Tak się nie robi, podwójne hashowanie jest złe.
|
|
|
|
| -lukasamd- |
19.01.2010, 16:15:11
Post
#3
|
|
Goście |
To co lepiej? 1x hash + sól?
No a z tym trzymaniem w sesji to... no rzeczywiście nieco niepotrzebne... |
|
|
|
|
19.01.2010, 18:18:40
Post
#4
|
|
|
Grupa: Zarejestrowani Postów: 255 Pomógł: 16 Dołączył: 4.07.2007 Ostrzeżenie: (0%)
|
ja robie tak
wysylam post'em login i haslo filtruje dane wejsciowe, lacze sie z baza , robie selecta z users jesli zwraca jeden wynik to robie session zalogowany = 1 do tego jakis hash = ilestam i potem na kazdej podstronie na gorze robisz if session zalogowany != 1 || hash!=ilestam header redirect form.php exit; |
|
|
|
|
19.01.2010, 19:52:28
Post
#5
|
|
|
Grupa: Zarejestrowani Postów: 1 182 Pomógł: 115 Dołączył: 4.03.2009 Skąd: Myszków Ostrzeżenie: (0%)
|
W sesji trzyma się np. id usera. Nie rozumiem po co wam jakieś hashe, albo co gorsza hasła (chociaż i tak nikt do tego dostępu mieć nie będzie).
|
|
|
|
|
|
Wersja Lo-Fi | Aktualny czas: 14.08.2025 - 14:37 |
