Klasa autoryzacji - czy jest bezpieczna ? Opcje

[netvalue]

Witam,

Czy ta klasa
http://code.google.com/p/simple-php-framew...amp;spec=svn209

czy ta klasa jest bezpieczna ? wydaje mi się ze nie grozi w zaden sposób atak Session-Hijacking i Session Fixation , gdy wykorzystamy tą klase + wpis w hataccess php_flag session.use_trans_sid off

[pyro]

Ta klasa jest i bezsensowna i niebezpieczna.

- Używanie global wewnątrz klasy.
- Brak DRY.
- zapisywanie username i password w cookies
- ....
- ....
- ....

Nie polecam jej do używania.

[netvalue]

1. ok. global do usuniecia
2. DRY ? (don't repeat yourself ? )
3. hasło przeciez jest zapisywane salt i md5 ...

[PHP] pobierz, plaintext 
 
 setcookie("auth_username", $username, time()+60*60*24*30, "/", $this->domain);
                                        setcookie("auth_password", $md5pw, time()+60*60*24*30, "/", $this->domain);
 
[PHP] pobierz, plaintext 

czy ta struktura klasy pozwoli uchronić przed Session-Hijacking i Session Fixation ?

Ten post edytował netvalue 20.09.2013, 11:08:41

[!*!]

A widzisz tam jakieś zabezpieczenia? Nie. Poszukaj jakichś nowszych klas, 2006 rok nic Ci nie mówi? Na github masz jej "nowszą wersje".

Ten post edytował !*! 20.09.2013, 11:11:41

[netvalue]

ok. którą zatem polecacie bezpieczną klasę do autoryzacji ?