Witam.
Temat logowania walkowany byl juz nie jeden raz. Na podstawie naszego forum i tutoriali z googla napisalem lepszy lub gorszy mechanizm logowania. Mam jednak pytanie co dalej:
Po poprawnym zalogowaniu dane o userze leca do sesji i nastepuje przekierowanie do index.php
I teraz moj teoretyczny problem:
- czy wystarczy na poczatku index.php jjedynie sprawdzac czy istnieje w sesji jakas zmienna (lub poprostu id usera) -? jesli nie to redirect i logowanie
- czytalem tez o tokenach lub sprawdzaniu czy nie zmienil sie ip komputera od momentu
wiem ze mozna sporo wymyslac co sprawdzac ale moze spowolnic to proces generowania strony. Jednak jakie jest Wasze zdanie na ten temat ?
Jakich warunkow uzywac w pliku index.php aby sprawdzic czy uzytkownik jest zalogowanyitak aby bylo to bezpieczne
Pełna wersja: [PHP]Jakie warunki po zalogowaniu
Ja osobiście w sesji trzymam takie dane jak:
id usera
IP
user agent (przeglądarki)
md5(rand(0,10000))
Przy zalogowaniu dane takie również trzymam w bazie, i przy pobieraniu danych wszystkie te dane muszą się zgadzać.
id usera
IP
user agent (przeglądarki)
md5(rand(0,10000))
Przy zalogowaniu dane takie również trzymam w bazie, i przy pobieraniu danych wszystkie te dane muszą się zgadzać.
Cytat(elmozaur @ 11.07.2012, 19:28:17 ) 
Witam.
Temat logowania walkowany byl juz nie jeden raz. Na podstawie naszego forum i tutoriali z googla napisalem lepszy lub gorszy mechanizm logowania. Mam jednak pytanie co dalej:
Po poprawnym zalogowaniu dane o userze leca do sesji i nastepuje przekierowanie do index.php
I teraz moj teoretyczny problem:
- czy wystarczy na poczatku index.php jjedynie sprawdzac czy istnieje w sesji jakas zmienna (lub poprostu id usera) -? jesli nie to redirect i logowanie
- czytalem tez o tokenach lub sprawdzaniu czy nie zmienil sie ip komputera od momentu
wiem ze mozna sporo wymyslac co sprawdzac ale moze spowolnic to proces generowania strony. Jednak jakie jest Wasze zdanie na ten temat ?
Jakich warunkow uzywac w pliku index.php aby sprawdzic czy uzytkownik jest zalogowanyitak aby bylo to bezpieczne
Temat logowania walkowany byl juz nie jeden raz. Na podstawie naszego forum i tutoriali z googla napisalem lepszy lub gorszy mechanizm logowania. Mam jednak pytanie co dalej:
Po poprawnym zalogowaniu dane o userze leca do sesji i nastepuje przekierowanie do index.php
I teraz moj teoretyczny problem:
- czy wystarczy na poczatku index.php jjedynie sprawdzac czy istnieje w sesji jakas zmienna (lub poprostu id usera) -? jesli nie to redirect i logowanie
- czytalem tez o tokenach lub sprawdzaniu czy nie zmienil sie ip komputera od momentu
wiem ze mozna sporo wymyslac co sprawdzac ale moze spowolnic to proces generowania strony. Jednak jakie jest Wasze zdanie na ten temat ?
Jakich warunkow uzywac w pliku index.php aby sprawdzic czy uzytkownik jest zalogowanyitak aby bylo to bezpieczne
ID sesji. Generujesz SID, ustawiasz, żeby wygasł po X czasu, zapisujesz do cookie użytkownika wraz z czasem wygaśnięcia. Później tylko sprawdzasz, czy SID aktywnej sesji == SID w cookies użytkownika, jeśli tak, to użytkownik jest zalogowany.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.