Создаю сессию при правльном вводе логин-пароля, в которую пишу id юзверя
Далее когда юзверь оказывается уже залогиненым на сайте нужно сделать проверку ... session_start(); и начинаю .. если куков с айди сессии нет - то он без прав, а если есть - то всё ок и беру из базы все данные по айди юзверя
Теперь вопрос ...
У юзверя могут угнать эти куки и залить себе
С чем ещё сравнивать (элементы из массива сессии, записаные при входе в систему) у юзверя на данный момент?
ip и браузер не преддлагать - сеть может быть динамической или через проксик этот аццкий хакер сидит, браузер .. всего несколько вариантов )
Спустя 5 часов, 42 минуты, 4 секунды (12.07.2007 - 07:37) md5 написал(а):
из куки бери логин с хэшем пароля и ищи в своей базе на здоровье
нашол — поставил в сессию, что он залогинен
нашол — поставил в сессию, что он залогинен
Спустя 2 часа, 49 минут, 23 секунды (12.07.2007 - 10:26) xaxaTyH написал(а):
Нет, мне нужны какие-лиюо уникальные данные компьютера владельца этой куки, которые будет сложно подделать ...
Логин и пароль здесь не катят ...
Логин и пароль здесь не катят ...
Спустя 20 минут, 1 секунда (12.07.2007 - 10:46) md5 написал(а):
зачем тебе это?
Спустя 7 минут, 24 секунды (12.07.2007 - 10:54) xaxaTyH написал(а):
это безопаснее ...
проверки идёт по особенным параметрам машины, браузера и прочее клиента и естественноо кука с айди сессии
а куку с логин-паролем стырил - и пользуйся - не хочу
проверки идёт по особенным параметрам машины, браузера и прочее клиента и естественноо кука с айди сессии
а куку с логин-паролем стырил - и пользуйся - не хочу
Спустя 40 минут, 17 секунд (12.07.2007 - 11:34) md5 написал(а):
убейте себя
Спустя 20 минут, 23 секунды (12.07.2007 - 11:54) xaxaTyH написал(а):
отличный ответ Администартора 
А скажите, почему?
Что я не так говорю?
А скажите, почему?
Что я не так говорю?
Спустя 4 минуты, 46 секунд (12.07.2007 - 11:59) Rem написал(а):
если тебя беспокоят эти идиотские мелочи - сделай авторизацию ТОЛЬКО на сессиях и не парься. ещё не встречал индивидуумов у которых бы крали куки для авторизации.
Спустя 3 минуты, 49 секунд (12.07.2007 - 12:03) md5 написал(а):
Администартор высказывает свое мнение
ip и браузер — не те вещи, на которые можно полагаться
для тебя задача поставить куку юзеру, чтобы опознать его потом?
объясни, почему не устраивает хранить зашифрованный пароль с логином?
насчот твоего "уникальный ID компьютера" — поищи, тем полно было с итогом: это все бред!
уникального ID ты не получишь!
украли куку — проблема пользователя, что у него руки дырявые
ip и браузер — не те вещи, на которые можно полагаться
для тебя задача поставить куку юзеру, чтобы опознать его потом?
объясни, почему не устраивает хранить зашифрованный пароль с логином?
насчот твоего "уникальный ID компьютера" — поищи, тем полно было с итогом: это все бред!
уникального ID ты не получишь!
украли куку — проблема пользователя, что у него руки дырявые
Спустя 3 минуты, 17 секунд (12.07.2007 - 12:06) xaxaTyH написал(а):
хехм
зачем тогда куку хранить с логино и паролем?
Просто тогда с id сессии. А на сервере сессию с айди пользователя.
Врожде так проще, а эффект один и тот же
Жаль,думал найду что-то другое.
идентить по кукам с логином и пссом - зло! Зачем юзверю доверять какие любо данные? Всё равно скрипт обработку делает. Тогда уже по айди сессии
зачем тогда куку хранить с логино и паролем?
Просто тогда с id сессии. А на сервере сессию с айди пользователя.
Врожде так проще, а эффект один и тот же
Жаль,думал найду что-то другое.
идентить по кукам с логином и пссом - зло! Зачем юзверю доверять какие любо данные? Всё равно скрипт обработку делает. Тогда уже по айди сессии
Спустя 9 минут, 56 секунд (12.07.2007 - 12:16) zaxar написал(а):
Можно в базе хранить отсканированный отпечаток пальца, а при каждой загрузке страниц просить юзера приложить палец к сканеру...
Спустя 16 минут, 27 секунд (12.07.2007 - 12:33) welder написал(а):
Цитата
Можно в базе хранить отсканированный отпечаток пальца, а при каждой загрузке страниц просить юзера приложить палец к сканеру...
Идея конечно хорошая, но веть отпичаток пальца могут со сканировать зладеи и подставлять вместо настоящего.. Так же хакеры используя социальную инжинерию могут просто украсть палец у владельца. Вобщем идею надо доработать.
Спустя 11 минут, 28 секунд (12.07.2007 - 12:44) md5 написал(а):
Цитата
Просто тогда с id сессии. А на сервере сессию с айди пользователя.
ёптваюбапку
у тебя сессия на серваке бесконечная?
через неделю к тебе человек зайдёт. по какому id сессии ты будешь его идентифицировать? по той, что истекла через 15 мниут после его последнего визита?
проверил логин с пасом — завел новую сессию, поставил в ней его id и т.д.
Спустя 33 минуты, 42 секунды (12.07.2007 - 13:18) xaxaTyH написал(а):
Цитата(md5 @ 12.7.2007, 13:44) [snapback]24596[/snapback]
Цитата
Просто тогда с id сессии. А на сервере сессию с айди пользователя.
ёптваюбапку
у тебя сессия на серваке бесконечная?
через неделю к тебе человек зайдёт. по какому id сессии ты будешь его идентифицировать? по той, что истекла через 15 мниут после его последнего визита?
проверил логин с пасом — завел новую сессию, поставил в ней его id и т.д.
А
Код
session_set_cookie_params(мильонтысячлет);
никак?
Спустя 31 минута, 30 секунд (12.07.2007 - 13:49) md5 написал(а):
да лишь бы тебе было удобно
Спустя 2 минуты, 51 секунда (12.07.2007 - 13:52) xaxaTyH написал(а):
ладно, если юзвери не джебилы - то гут .. придётся тогда ещё в САМОЙ админке вводить логин и пасс дополнительные и заводить куки по полчаса
Всё тогда - вопрос закрыт
Всё тогда - вопрос закрыт
Спустя 4 дня, 22 часа, 10 минут, 22 секунды (17.07.2007 - 12:03) An@nim написал(а):
1. Выставляеш куки время жизни в 15 мин.
В куки записываеш id и случайное значение зашифрованное с помошью md5.
В базу по id записываеш тоже случайное значение что и в куки.
2.На странице проверяеш совпадает ли зашифрованное значение из куки с значением из базы по id.
Если да проделываеш пункт 1
Если нет то выводищ форму авторизации, если авторизация проходит успешно то пункт 1
Украсть куки в лучшем случае за 15 мин помоему нериально, а если даже украл то вероятнее всего пользователь
уже обновил страницу.
В куки записываеш id и случайное значение зашифрованное с помошью md5.
В базу по id записываеш тоже случайное значение что и в куки.
2.На странице проверяеш совпадает ли зашифрованное значение из куки с значением из базы по id.
Если да проделываеш пункт 1
Если нет то выводищ форму авторизации, если авторизация проходит успешно то пункт 1
Украсть куки в лучшем случае за 15 мин помоему нериально, а если даже украл то вероятнее всего пользователь
уже обновил страницу.