Czy mogę oprzec logowanie uzytkowników na strone tylko uzywając ciasteczek, czy jest to bezpieczne?? i efektywne??

używając TYLKO ciasteczek raczej nie dasz rady wogóle tego zrobić gdzieś przecież musisz mieć zapisane loginy i hasła A czy jest bezpieczne to zależy od tego w jaki sposób to napiszesz Napewno będziesz musiał kodować dane wysyłane w ciastku

tzn chodzi mi o to ze sprawdzam ciastko (czy zostało wysalane na komputer uzytkownika czy nie) i jezeli jest to wpuszczam go do zamknietej czesci strony jezeli nie to kaze sie logowac. Nazwy i hasla sa w bazie mysql(opcje zmiany hasla itp. zarzadzanie uzytkownikami). A ciasto jest wysylane tylko wtedy gdy uzytkownik poda poprawny login i haslo. W ciastu nie wysylam loginów ani hasel tylko zmienną która mówi czy uzytkownik jest zalogowny czy nie (nie ważne kto). chodzi mi o to czy jest to bezpieczne na tyle zeby mozna bylo to zastosować.

Tak możesz użyć tylko ciasteczek. A czy jest to bezpieczne... trudno konkretnie stwierdzić ale ja i tak jestem za sejsami

No właśnie czym to sie róźni od sesji... Nie chodzi mi o porównanie tych dwoch sposobów tylko chciałbym wiedziec dlaczego wiekszośc osób pracuje na sesjach. Przeciez obsługe cookies ma juz wiekszosc przegladarek (nowe mają wszystkie). A i praca na ciastkach jest łatwa... Myslalem ze chodzi jedynie o bezpieczenstwo...

no to skoro nie będziesz wysyłał w ciachu ani loginów ani hasłek to skąd będziesz wiedział jaki użytkownik się zalogował

pobieram z formularza login i haslo. Nastepnie pobieram z bazy mysqla wszystkie rekordy o nazwie odpowiadajacej loginowi z formularza (np. ... where nazwa='$user' - czyli ylko jeden rekord bo przy zakladaniu kont mam warunek ze login nie moze sie powtorzyc) i porownuje z haslem z tego samego rekordu. mam od razu id z bazy wiec moge rozpoznac rejestrujacego sie...

nie o to chodzi - ktoś Ci się zarejsstruje i wyslesz mu ciastki. No i teraz musisz cos w tym ciastku mu wyslac zebys wiedzial kto jest zalogowqany przy przejsciu na kolejną podstrone. Jezeli chcesz w ciastku wysylas id usera i po tym go rozpoznawac to teraz sam sobie pomysl czy to jest madre. spreparowac ciastko to nie jest duza filozofia a zazwyczaj Administrator ma id = 1. i ktos zmieni w swoim ciastki ze swojego ID na 1 i jest zalogowany jako admin - zgadza sie ?

Nie. Aby wogóle wyslac ciasto trzeba podac poprawny login i haslo. Do ciasta nie wysylam id tylko zmienna która mówi mi czy ktos sie zalogował czy nie. cookies jest wazne tylko jedna godzine... teraz dodałem jeszcze jedno cookies ktore wysyla zakodowane nazwe uzytkownika i poprzez to go rozpoznaje, ale potrzebuje tego tylko do tego aby zmienic ustawienia uzytkownika(tzn zeby on sam sobie je zmienil).
Nawet jezeli ktos w przegladarce zmieni :lab/index.php?id=user&user=wojtas na innego uzytkownika np Marek to i tak nic nie da bo nie bedzie tego drugie ciacha wlasnie z nazwa uzytkownika....

aha chyba skapowalem.....

no dobra ale nazwa zanim zostanie wyslana jest kodowana. a po odczytaniu dekodowana......To zmiana w ciachu z wojtas na mareki tak nic nie da...

no widzisz ile problemów z ciastkami
Problem w tym, że ktoś zawsze to może podrobić... natomiast sesje już nie bałdzo.
A czemu nie używać ciasteczek i sesji jednocześnie ?

Dopiero zaczynam zabawe z tego typu rzeczami i jeszcze nie za bardzo wszystko umiem(rozumiem), wiem ze mialem jakis skrypt na sesiach i chyba nie dziala mi za bardzo jak chodzilem po stronach wiec zmienilem wszystko na ciastkach... a moze jakis dobry kurs na temat sesji...