ielogošanās

[osk]

Domāju uztaisīt ielogošanos, pēc principa - pieslēdzas pie db un pārbauda vai tāds users ar tādu paroli eksistē. Ja eksistē, tad tiek uztaisīts sesijas mainīgais, kurā glabājas usera id no db. Un tālāk pa lapu viņš var staigāt šurpu turpu, bet ja tāda mainīgā nav, tad lapu nevar apskatīt.

Jautājums - vai tas ir gana droši? Vai cits nevar to sesijas id pats kaut kā uzmeistarot? Jeb katrai lapai vajadzētu slēgites klāt pie db un pārbaudīt paroli+useru?

[v3rb0]

pretjautājums - kam pietiekami droši? - interent bankai nē, preču katalogam jā.

[osk]

Preču katalogam, useru sarakstei, fočņu ievietošanai utml.

Kur problēma ar drošību? Kā to var palielināt? To id protams var arī kriptēt. Bet vai tas mainīs būtību?

[v3rb0]

domāju ka ar id sessijā tev pietiks, bet ja gribi kaut ko vairāk tad problēma ar vienu id sessijā varētu būt tāda ka tiek izmantota tikai viena pārbaude lai noskaidrotu ir vai nav useris ielogojies.

 

lai palielinātu sessiju drošību, pirmais kas nāk prātā, ir pieglabāt servera pusē usera ip, info par browseri un varbūt vēl kaut ko. ja pamainās ip vai browsera versija, tad zini ka nav kaut kas labi.

 

+ pie ielogošanās uztaisīt aizturi uz pāris secundēm - domāju nevis tikai sleep() iekš php bet db lauku ar laiku kad pēdējo reizi pārbaudi usera loginu/paroli un pārbaudot paroli skaties vai iepriekšējā paroles pārbaude ir bijusi pirms kādām secundēm piecām, piemēram. tā varēsi mēģināt pasargāties no botiem kas pielasa paroles no vārdnīcas.

Edited February 22, 2006 by v3rb0

[osk]

Kā to aizturi vēl var uztaisīt?

set_time_limit + random?

[Kavacky]

Rēcu. Izlasi, ko dara set_time_limit.

[osk]

Jā, kļūdiņa sanāca ar to time limit :o)))