Logowanie i ciasteczka Opcje

[Istalacar]

Witam

Pytanie raczej banalne, chciałbym poznać Wasze zdanie na ten temat.
Konkternie, mam stronę z logowaniem, kilka podstron, które tego wymagają uwierzytelnienia i przekazuję informacje o zalogowaniu w postaci ciasteczek.
I teraz pytanie, co Wy przechowujecie w ciasteczkach, id użytkownika, tylko tyle który jest zalogowany, może nazwę użytkownika, hasło, lub jedno i drugie.
Ja do tej pory w ciasteczku umieszczałem taką informację:
(Zaszyfrowany użytkownik);end;(Zaszyfrowane hasło)
Następnie to sprawdzam, i pytam się czy jest to skuteczny i bezpieczny sposób i czy jest może jakić lepszy?

Z góry dziękuję za odpowiedź
Pozdrawiam
Istalacar

[misiek172]

Cookie to najprostsze element do z hackowania, między innymi dlatego ze znajduja sie clijent-side. Do tego najlepsze beda sesje!!

[Istalacar]

Witam

Napewno bym tak zrobił gdyby nie to iż chcę aby klient się logował np na tydzień, tyle sesja nie wytrzyma.

Pozdrawiam
Istalacar

[misiek172]

no ale czemu miala by wytrzymywac? przecierz mozesz najwyzej zrobic w bazie kolumene ZALOGOWANY i dawac true lub false, momencie zalogowania wbijasz TRUE gdy user zamknie przeglarke nie wylogowywujac sie TRUE zostaje i widac ze jest zalogowany, a jesli rozchodzi ci sie o zmienne sesji jeszcze to dorob sobie nastepna kolumne o nazwie SESSION_VAR i wklpuj tam zserializowaną tablice zmiennych sesji ... i potme mozesz ja przywracac...

[idas]

no ale czemu miala by wytrzymywac? przecierz mozesz najwyzej zrobic w bazie kolumene ZALOGOWANY i dawac true lub false, momencie zalogowania wbijasz TRUE gdy user zamknie przeglarke nie wylogowywujac sie TRUE zostaje i widac ze jest zalogowany

Yo!
Mam pytanie: jak w takim razie jesli sam uzytkownik sie nie wyloguje [a tym samym nie zmienimy wartosci w kolumnie ZALOGOWANY na false] sprawic, zeby np. po zamknieciu przegladarki, gdy uzytkownik sie nie wylogowal, wartosc w tej kolumnie zostala zmieniona na false?

W ogole to mam pytanie: jak przesylac bezpieczenie dane uzytkownika, ktory sie zalogowal, do kolejnych podstron? No bo jakos trzeba przekazac ta informacje, ze uzytkownik jest zalogowany...przesylanie zmiennych np. loginu w url metoda GET nie wydaje mi sie dobre, bo to chyba latwe do zlamania...
Ktos pomoze?

[misiek172]

do przesyłania danych na podstronach mówie SESJE·!!!

A jeśli chodzi o pierwsze pytanie to musisz jeszcze ustawic w bazie czas zalogownia i ostatniej operacji i potem skrypt dajesz na CRONA lub przy kazdym odswiezeniu ma pobierac liste uzytkownikow zalogowanych i sprawdzić czy np nie mineło 15 minut od ostatniej operacji, jeśli mineło zmienia wartość w bazie na false.

[idas]

Kurde mam problem:/
Z tego co widze zmienne sesyjne u mnie nie dzialaja:/
Zainstalowalem u siebie serwer Apache 2.0.48, PHP 5.2.1 i kupa:/
Gdzie je wlaczyc?

[Michal2000]

Cookie to najprostsze element do z hackowania, między innymi dlatego ze znajduja sie clijent-side. Do tego najlepsze beda sesje!!

Tak, jeśli są źle użyte. Najlepiej trzymać tam własna 'sesje' Wpisać do bazy po zalogowaniu wygenerowana losowa sesje, przypisać ją do cookie, i przy wejściu na stronę, sprawdzać czy taka sesja istnieje w bazie, a jeśli tak do czy jest jeszcze ważna (czyli w bazie zrobić kolumnę z czasem ważności). jeśli istnieje i jest ważna, to sprawdzić do jakiego użytkownika należy i go zalogować

[misiek172]

ale po co sobie kurde tak utrudniać życie... ale żeście się przyczepili do tych Cookie... są złe i już i nie każdy ma je włączony oraz nie które firewalle bronią zapisów do nich itp. Więc nie wystarczy sesje? Na które komputer nie ma wpływu A są bardzo proste do opanowania, wręcz powiedziałbym banalne, tylko mają pare zasad których trza przestrzegać ;P