Logowanie - sesje czy cookies?, Co lepsze, bezpieczniejsze i szybsze? Opcje

[jono]

No, ale sesje php działają nawet bez cookies, bo wtedy php samo dodaje ID sesji do linków. A jak to zrobić swoim skryptem??

[NuLL]

Znaczy się co ?
Dodanie SID następuje automacznie na 99% serwerów.

[MP1]

Co myślicie o logowaniu:

[PHP] pobierz, plaintext 
<?php
  if (!isset($_SERVER['PHP_AUTH_USER'])) { 
	header('WWW-Authenticate: Basic realm=\"My Realm\"');
	header('HTTP/1.0 401 Unauthorized');
	echo 'Tekst do wysłania, jeśli użytkownik wciśnie przycisk Anuluj';
	exit;
  } else {
	echo &#092;"<p>Hej {$_SERVER['PHP_AUTH_USER']}.</p>\"; 
	echo &#092;"<p>Twoje hasło to {$_SERVER['PHP_AUTH_PW']}.</p>\"; 
  }
?>
Powyższy przykład pochodzi z podręcznika php.
[PHP] pobierz, plaintext 

Czy wykorzystując logowanie przeglądarki nie byłoby lepsze? Większość ten sposób obsługuje (jak tam z Lynx?). Wtedy nie byłoby skryptowego zapamiętywania hasła, przeglądarki mają taką możliwość (IE, Firefox na pewno).


Więc jak jest najbezpieczniej? Zaraz... da się problem rozwiązać z SQLem.

BŁĄD/ROZWIĄZANIE 1.
Wpisane dane - komórki w SQLu (sesje własne)
Indetyfikator sesji - cookies
Typ autoryzacji: sprawdzenie, czy w ID sesji (pobranym z cookies) w SQLu wpisane dane są takie same, jak w danych o użytkowniku.
Błąd: zmiana ID sesji może spowodować dostęp do innego użytkownika.
Rozwiązanie: dodatkowy element - kod ochrony (także zapisywany w cookies) oraz szyfrowanie.

Czy to dobre rozwiązanie? Każda sesja ma inny kod ochrony (generowany m. in. funkcją RAND).

Ten post edytował MP1 22.05.2005, 17:11:44