Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: Bezpiecznie autologowanie z cookies
Forum PHP.pl > Forum > PHP
AvantaR
13.04.2006, 21:21:43
Przegladam sobie tak forum i stwierdzilem, ze musze koniecznie poprawic bezpieczenstwo w niektorych miejscach.

Otoz autologowanie mam tak zrobione, ze przy logowaniu tworzy sie po prostu cookie z ID danego uzytkownika. I pozniej przy ladowaniu strony jest sprawdzane czy takie cookie istnieje i czy dane ID jest w bazie danych, jesli jest to normalnie jest user automatycznie logowany. Przeczytalem jednak na forum, ze mozna zmieniac wartosc ciasteczek i wpadlem w lekka panike (na szczescie skrypt jest nadal na moim dysku).

Tak wiec ma ktos moze pomysl jak zrobic takie bezpieczne logowanie? Myslalem nad jakims szyfrowaniem tego ID w cookie, tylko pozniej nie wiem jak je odszyfrowac (jesli w bazie jest niezaszyfrowane).

Prosilbym o pomoc, z gory dziekuje smile.gif

Pzdr
phobos
13.04.2006, 22:06:32
mozesz zaszyfrowac ta samam metoda id z bazy danych i pozniej sprawdzic czy id w cookies i zaszyfrowane id z bazy sa identyczne
druga sprawa proponuje zebys w cookie tez zapisywal zaszyfrowane haslo
bo t tylko sprawdzasz id a co jesli urzytkownik zmienil haslo bo ktos inny je znal ale ten ktos inny zalogowal sie juz na stronce i ma cokies z id na swoim komputerze questionmark.gif
wtedy ma dostep do danych chociarz urzytkownik zmienil haslo
AvantaR
13.04.2006, 22:21:07
Dziekuje. Sprobuje, czy istnieja jeszcze jakies inne sposoby. Jak jest to rozwiazane w np. w jakis popularnych forach dyskusyjnych?

Edit: A czy ten ID mam juz umieszczac zakodowany w bazie, czy jak?

Pzdr
phobos
13.04.2006, 23:17:34
nie nie dajesz zakodowanego id do bazy
tylko potem jak go juz pobierzesz z bazy danych to go zaszyfrujesz i porownujesz z id z cookies
AvantaR
13.04.2006, 23:19:14
Ale jak go mam pobrac? Tzn. skad bede wiedzial, ze to ten rekord? Cala baze mam przeleciec?

Pzdr
phobos
13.04.2006, 23:28:00
nie no id to tylkko mowilem jako przyklad jak mozesz to zrobic z zaszyfrowaniem
ja to robie tak w cookies zapisuje logiin i zaszyfrowany pass
potem lacze sie z baza danych i pobieram pass dla tego loginu , ten pass co dostaje zaszyfruje i spr z tym co jest w cookies i jesli sie zgadza to auth=1
AvantaR
14.04.2006, 09:42:13
I to auth=1 w cookie trzymasz?
phobos
14.04.2006, 10:54:01
w cookies trzymam tylko login i pass a auth to jest zmienna ktora "mowi mi" czy sa dobre dane w cookies i czy zalogowac urzytkownika
AvantaR
14.04.2006, 11:14:37
Aaa o to chodzi, dziekuje smile.gif
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.