Witam
Mam pytanie dotyczące logowania się do paneli administracyjnych, do swoich kont w CMS-ach czy na forach.
Jak to działa, że nie trzeba podawać loginu i hasła na karzdej podstronie serwisu.
bardzo prosze o odp. poniewarz robię coś do czego potrzebne jest sprawne llogowanie...;-)
Pełna wersja: [logowanie] Jak To Działa ?
ze 2 posty nizej wlasnie o cos takiego sie pytalem. docelowo musisz/mozesz trzymac w sesji jakis identyfikator, ktory bedzie oznaczal, ze user jest zalogowany.
Hmm...no ale wtedy będzie możliwe oszukanie i np. kolesie będą tworzyć na swoim serwerze strone w php któa będzie "tworzyć" sesje z tym identyfikatorem...cudzym.
No chyba, że się myle i np. sesje działają tylko w obrębie jednego serwera...
No chyba, że się myle i np. sesje działają tylko w obrębie jednego serwera...
moja wiedza na temat php nie jest jakas specjalnie duza, ale chyba tak jest 
do tego sesja ma wartosc, ktorej przeciez "kolesie" nie znaja.
zapene da sie oszukac, ale to wyzsza szkola jazdy
do tego sesja ma wartosc, ktorej przeciez "kolesie" nie znaja.zapene da sie oszukac, ale to wyzsza szkola jazdy
W sesji powinienes zapisac login i haslo a potem na kazdej stronie je sprawdzac.
masz system logowania
jezeli przeszdl weryfikacje poprawnie dajesz $_SESSION['user']['zalogowany']='on' lub jak chcesz
pozniej tylko sprawdzasz if ($_SESSION['user']['zalogowany']=='on')
lub tez w obiekcie if($User->sZalogowany) gdzie jej wartosc nadajesz wlasnie poprzez ww sesje true badz false ...
jezeli przeszdl weryfikacje poprawnie dajesz $_SESSION['user']['zalogowany']='on' lub jak chcesz
pozniej tylko sprawdzasz if ($_SESSION['user']['zalogowany']=='on')
lub tez w obiekcie if($User->sZalogowany) gdzie jej wartosc nadajesz wlasnie poprzez ww sesje true badz false ...
Hmm...a co wy na to, żeby zrobić tak :
Admin ustalał by w p. administracyjnym jakiś kompletnie losowy tekst (np. oaihgiawbogbao)
I podczas udanego logowania ten losowy tekst był by pobierany z bazy a następnie tworzona by byłą sesja z :zawartością" odp. temu losowemu tekstowi. Tworzyłą by się też dróga sesja z loginem...
A potem na kolejnych stronach skrypty sprawdzały by czy ten losowy tekst się zgadza...jak nie do odsyłąmy do logowania ;-)
CO wy na to ?
To by troche utrudziło troche sprawe "włamywaczom" ;-)
Admin ustalał by w p. administracyjnym jakiś kompletnie losowy tekst (np. oaihgiawbogbao)
I podczas udanego logowania ten losowy tekst był by pobierany z bazy a następnie tworzona by byłą sesja z :zawartością" odp. temu losowemu tekstowi. Tworzyłą by się też dróga sesja z loginem...
A potem na kolejnych stronach skrypty sprawdzały by czy ten losowy tekst się zgadza...jak nie do odsyłąmy do logowania ;-)
CO wy na to ?
To by troche utrudziło troche sprawe "włamywaczom" ;-)
Ludzie, opamiętajcie się! 
Itsme dał wam najlepsze rozwiązanie, identyfikator sesji jest losowy i bardzo trudny do odgadnięcia (baaaardzo, miliardy kombinacji, nie chce mi się teraz dokładnie liczyć
), i nie wyważajcie otwartych drzwi.
--
just a test Programista php
Itsme dał wam najlepsze rozwiązanie, identyfikator sesji jest losowy i bardzo trudny do odgadnięcia (baaaardzo, miliardy kombinacji, nie chce mi się teraz dokładnie liczyć
), i nie wyważajcie otwartych drzwi.--
just a test Programista php
co do tej propozycji to calkiem fajna tylko tyle ze to tez idzie ukrasc pewnie ... anzczy sie moze jakos ktos sie dowiedziec albo cuz ... a za kazdym razem sprawdzanie loginu i hasla ? wiem ze obiciaza baze ale: w sesji trzymam pare zeczy tzn ip, czas logowania, login, md5(haslo), info o przegladarce
pisze funkcje ktora sprawdza za kazdym razem czy wszystkie wartosci sesyjne sa poprawne
tzn ip, czy czas bezczynnosci nie przekroczyl jakiegos limitu, czy login i haslo poprawne z tym co w bazie czy jest dane ip ? troch e uciazliwe ale moze jest sens, kto wie
pisze funkcje ktora sprawdza za kazdym razem czy wszystkie wartosci sesyjne sa poprawne
tzn ip, czy czas bezczynnosci nie przekroczyl jakiegos limitu, czy login i haslo poprawne z tym co w bazie czy jest dane ip ? troch e uciazliwe ale moze jest sens, kto wie
Pamietajmy ze z php dostajemy gotowe narzedzia ...
http://pear.php.net/manual/en/package.auth....auth.intro.php
http://pear.php.net/manual/en/package.auth....auth.intro.php
Cytat(Luca @ 2004-08-26 12:05:00)
Pamietajmy ze z php dostajemy gotowe narzedzia ...
http://pear.php.net/manual/en/package.auth....auth.intro.php
http://pear.php.net/manual/en/package.auth....auth.intro.php
niom masz racje thx
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.