Forum PHP.pl > [PHP] Względnie bezpiecznie logowanie na sesjach

Pomoc - Szukaj - Użytkownicy - Kalendarz

Pełna wersja: [PHP] Względnie bezpiecznie logowanie na sesjach

lukasamd

19.01.2010, 15:14:40

Witam,
mam pytanie czy mechanizm logowania działający na sesjach jest w miarę bezpieczny.
Wyczytałem nieco na kilku serwisach no i na początku przerzucam do cookies aby nie można było nic grzebać w adresach:

Kod

ini_set('session.use_only_cookies', 'on');

W samych sesjach trzymam dane sprawdzane przy każdej odsłonie:
- ID usera
- częściowo zahashowane hasło (załóżmy że md5x1, zaś w bazie jest md5x2)
- IP

Jeżeli dane są prawdziwe, dodatkowo robię regenerację:

Kod

session_regenerate_id();

"Ma to to ręce i nogi?"

Mephistofeles

19.01.2010, 16:06:49

Po co w sesji trzymać hasło? Na dodatek hashować je drugi raz przy wprowadzaniu do bazy? Tak się nie robi, podwójne hashowanie jest złe.

lukasamd

19.01.2010, 16:15:11

To co lepiej? 1x hash + sól?
No a z tym trzymaniem w sesji to... no rzeczywiście nieco niepotrzebne...

koderrr

19.01.2010, 18:18:40

ja robie tak

wysylam post'em login i haslo

filtruje dane wejsciowe, lacze sie z baza , robie selecta z users jesli zwraca jeden wynik to robie

session zalogowany = 1
do tego jakis hash = ilestam

i potem na kazdej podstronie na gorze robisz

if session zalogowany != 1 || hash!=ilestam

header redirect form.php

exit;

Mephistofeles

19.01.2010, 19:52:28

W sesji trzyma się np. id usera. Nie rozumiem po co wam jakieś hashe, albo co gorsza hasła (chociaż i tak nikt do tego dostępu mieć nie będzie).

To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.