Schemat bezpiecznej autoryzacji uzytkownika Opcje

[sivyer]

Witam,

Zastanawiam sie wlasnie, jaki schemat autoryzacji uzytkownika jest najbardziej bezpieczny. Czy ponizszy "pseudokod" mozna uznac za bezpieczny?

[php:1:86052951e6]
<?php

session_start();

if( (!isset($_SESSION['user_name'])) or (!isset($_SESSION['user_pass'])) or (empty($_SESSION['user_login'])) or (empty($_SESSION['user_pass'])) {
if( (!isset($_POST['login']) ) {
// Formularz do logowania
} elseif( $_POST['login']=='tak' ) {
if( DANE_POPRAWNE ) {
// Sprawdzamy w bazie uzytkownikow, czy dane sa poprawne
// jesli tak, to ustawiamy zmienne sesji
} else {
// Logowanie sie nie powiodlo, powrot do formularza
}
} else {
// Nie ma takiej opcji
exit;
}
} else {
if( ZMIENNE_SESJI == DANE_W_BAZIE ) {
// Jesli sa ustawione zmienne sesyjne, pobieramy je i sprawdzamy, czy
// zgadzaja sie z danymi w bazie userow, jesli tak, to mamy dostep do strony
} else {
// Cofamy sie do formularza logowania
}
}

?>[/php:1:86052951e6]

Mozna sie jeszcze pokusic o dorobienie sprawdzania IP komputera, a moze cos jeszcze? Czekam na Wasze opinie

[Nitro]

Nie jest chyba wskazane zapamiętywania hasła użytkownika w zmiennych sesyjnych.

[sivyer]

Haslo jest kodowane md5(). Mozna tez zrobic specjalne tabele w bazie danych, tam beda dane takie jak ID uzytkownika, haslo, zakodowany identyfikator sesji itd. i pozniej porownywac, zamiast z golej sesji pobierac dane.. Jak sadzicie?

[Nitro]

Można dodać jeszcze info czy ktoś jest już zalogowany, jeżeli tak to porównywać ip, jeżeli próbóje ponownie się zalogować.
md5() to nie kodowanie tylko "hashowanie"