goma smile Posted January 6, 2011 Report Share Posted January 6, 2011 Kā labāk taisī ielogošanos ? prosta sessijas sessijas mysql un ir kaut kāds cookies veids ... vai es kaut ko jaucu ... ? Quote Link to comment Share on other sites More sharing options...
labaiss Posted January 6, 2011 Report Share Posted January 6, 2011 (edited) Pie ielogošanās izveidojam unikālu ID, tam lietotājam, kas ielogojas un saglabājam to DB + vēl lietotāj vārds. Saglabājam to arī šeit: - SESSION - COOKIES Tad, kad čekojam vai USERS ir "Pareizais USERS" izvelkam no DB pēc user name to ID un salīdzinam vai tas sakrīt ar SESSION un COOKIES ID. - Ja nesakrīt..... Kad tiek veikts LOGOUT dzēšam ierakstu no DB. Ja netiek veikts LOGOUT pie nākošās ielogošanās dzēšam ierakstu, kas sakrīt ar user name (protams ja tāds ir). p.s. manuprāt tam vajadzētu darboties Edited January 6, 2011 by labaiss Quote Link to comment Share on other sites More sharing options...
daGrevis Posted January 6, 2011 Report Share Posted January 6, 2011 (edited) Ja dati ir pareizi, izveidojam sesiju ar parametriem: [*] 'id', kas ir tāds pats kāds ir datubāze (unikāls); [*] 'password', kas ir hash'ota. Vajadzības pēc arī 'time' (kas ir laiks timestamp'ā, cik ilgi jau lietotājs atrodas bez lapas reload / citas lapas, kura ir pārbaude, atvēršanas) 'user_agent' (pārlūkprogramma) un/vai 'ip_address'. Pie jebkuras lapas ielādes pārbaudām, vai 'id' + 'password' kombinācija atbilst 'id' īpašniekam. Ja nē, tad unset( $_SESSION['user'] ). P.S. Varam pārbaudīt, vai 'time' ngva "iztecējis". Teiksim maksimums ir 3600s. Vai pārlūks/IP nav mainījies... utml., pēc vajadzības. 'Remember me!', jeb cepumus arī izstāstīt? =D Edited January 6, 2011 by daGrevis Quote Link to comment Share on other sites More sharing options...
labaiss Posted January 6, 2011 Report Share Posted January 6, 2011 http://www.devarticles.com/c/a/MySQL/Security-and-Sessions-in-PHP/ Quote Link to comment Share on other sites More sharing options...
daGrevis Posted January 6, 2011 Report Share Posted January 6, 2011 Mhm? :> Quote Link to comment Share on other sites More sharing options...
xPtv45z Posted January 7, 2011 Report Share Posted January 7, 2011 daGrevis, kāda jēga no password hasha glabāšanas sesijā? Quote Link to comment Share on other sites More sharing options...
daGrevis Posted January 7, 2011 Report Share Posted January 7, 2011 Drošībai. Ja parole nebūtu hash'ota, tad pirmkārt as nebūtu "good practice". Otrkārt, datubāze Mēs taču glabājam hash'otas paroles? Tas salīdzinot paroli no sesijas ar paroli no datubāzes arī vajag abas hash'otas. Quote Link to comment Share on other sites More sharing options...
php newbie Posted January 7, 2011 Report Share Posted January 7, 2011 man liekas viņš domāja kāpēc vispār jāglabā paswordu sessijā Quote Link to comment Share on other sites More sharing options...
rATRIJS Posted January 7, 2011 Report Share Posted January 7, 2011 Paroli glabāt sesijā nav jēgas un nevajag. Quote Link to comment Share on other sites More sharing options...
daGrevis Posted January 7, 2011 Report Share Posted January 7, 2011 Bet ja kāds būs ticis pie sesijām klāt (t.i. izveidos jaunu sesiju) tad viss.... -.- $_SESSION['user']['id'] = 1; Un esi ielogojies kā admins. Quote Link to comment Share on other sites More sharing options...
Blitz Posted January 7, 2011 Report Share Posted January 7, 2011 (edited) sessija glabājās uz servera, un vienīgais kā piekļūt datiem ir nofeikojot id. Kā pret id feikošanu pasargās paroles glabāšana? Edited January 7, 2011 by Blitz Quote Link to comment Share on other sites More sharing options...
daGrevis Posted January 7, 2011 Report Share Posted January 7, 2011 Tā, ka ja 'id' būs "nofeikots", tad tapat ir jāzina parole, jo katru reizi tiek pārbaudīta 'id' + 'pw' kombinācija. Quote Link to comment Share on other sites More sharing options...
php newbie Posted January 7, 2011 Report Share Posted January 7, 2011 ja nospers id no kukijiem tad pasu arī Quote Link to comment Share on other sites More sharing options...
Blitz Posted January 7, 2011 Report Share Posted January 7, 2011 (edited) Tas salīdzinot paroli no sesijas ar paroli no datubāzes arī vajag abas hash'otas. ja cilveks nosper sessiju, tad ar visiem datiem, tai skaita hashoto paroli, imho tam nav nekadas jegas. Edited January 7, 2011 by Blitz Quote Link to comment Share on other sites More sharing options...
daGrevis Posted January 7, 2011 Report Share Posted January 7, 2011 Un ko Tu ar to gribēji teikt? O.o Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.