[php]autologowanie Opcje

[tukan]

Witam,
piszę auto logowanie w php na ciasteczkach i mam parę pytań:
1. Co mam zapisywać w ciasteczkach? tylko login, ale to nie jest dobry pomysł, bo przecież ktoś może zmienić w ciachach login i zalogować się na kogoś innego, może id sesji, hmm.
2. Czy te dane jakoś szyfrować?
3. Ogólny plan jest taki: wchodzi ktoś na stronę, ja requairuje sprawdzenie po czy istnieją ciasteczka i czy są ważne, jeśli tak to go loguję. ( Dobrze myślę?)
Proszę o skorygowanie oraz naprowadzenie mnie na odpowiedni tok myślenia, oraz aby mój system logowania był bezpieczny. Najbardziej zależy mi na odpowiedzi na pytanie 1.
pozdrawiam

[melkorm]

Było ostatnio poruszane na forum ze 2 razy, a w przeszłości także pare razy, poszukaj to nie boli.

Edit:
Na wszystkie Twoje pytania były tam odpowiedzi.

Edit 2:
A że mi się nudzi masz link gdzie ktoś pytał o podobne rzeczy: łap

Ten post edytował melkorm 6.07.2011, 12:58:02

[drozdii07]

Ja bym zrobil w bazie dodatkowa kolumna, tam zapisujesz dla kazdego usera hash np. data+Haslo+sol i pozniej w ciastku dajesz ten sam hash a pozniej gdy ktos wchodzi to sprawdzasz. Oczywiscie hash w bazie i w ciastku tworzysz jednoczesnie zeby wszystko sie zgadzalo

[tukan]

Czyli mam taki pomysł:
W momencie wysłania formularza i zaznaczonej opcji autologowanie generuję hash z: loginu, meila id i daty czy czegoś podobnego, zapisuję w ciachu ten hash i login. Hash zapisuję również w bazie. Przy wejściu na stronę klienta:
1. Sprawdzam czy jest ciasteczko i jego ważność
2. Biorę login, oraz hash z ciastek, a następnie spradzam czy hash w bazie i w ciastku jest taki sam dla loginu pobranego z ciasteczek, jeśli tak loguję gościa
Powiedźcie mi czy to jest dobry pomysł, a przede wszystkim czy bezpieczny, może niepotrzebnie utrudniam.

[melkorm]

1. nie musisz zapisywać hash'a w bazie, niepotrzebne moim zdaniem.
2. W ciachu możesz zapisywać id użytkownika zamiast loginu.

[drozdii07]

To z czym pozniej porowna hash ? Jesli by chcial zrobic data+login to i tak by musial gdzies przechowac date

[melkorm]

hash możesz zrobić z danych user'a które się nie zmienią w długim czasie i tyle, hash z tych samych danych daje ten sam hash.

Zresztą się powtarzam wszystko pisałem w tamtym topic'u .

Ten post edytował melkorm 6.07.2011, 15:39:49

[tukan]

To proszę, odpowiedzcie jednoznacznie na to pytanie:
Jak stworzyć w pełni bezpiecznego hasha, tak aby móc potem sprawdzić jego poprawność?

[drozdii07]

sposob melkorma bedzie jednak lepszy bo nie zajezdza tak bazy i tak jak ktos odkoduje hash to bedzie mial nasze dane..
P.S 100 post :]

Ten post edytował drozdii07 6.07.2011, 15:47:22