Piszę prostego CMSa z wykorzystaniem MySQLa. Zrobiłem tam logowanie na zasadzie sesji. Chcę do tego jeszcze dodać ciastko (żeby zapamiętywało logowanie) oraz dodać sól do ID sesji. Przez parę dni ciągle czytam artykuły odnośnie bezpieczeństwa, sesji i cookie ale mam totalny zamot i nie wiem jak to po kolei zrobić.
Chodzi mi dokładniej o to, że jak np. chcę stworzyć sól, to na jakiej podstawie potem ją sprawdzam i porównuje... no właśnie z czym? Gdzie tą sól mam przechowywać? Czy ma być wpisana w dodatkowe pole w tabeli 'admin'?
Albo jeśli chodzi o sesje. Loguję się, po uzyskaniu odpowiednich danych ustawiam ciastko z ID sesji (jak je wyciągnąć z php?). Ma być zhashowane+sół? Następnie porównuje SID z cookie, z ID sesji jakimś? No właśnie jakim? Bo skoro zamknąłem przeglądarkę to sesji już nie ma, więc nie mogę z nić porównać.
Czytałem jeszcze, że warto regenerować id co jakiś czas, ale skoro tak to jeżeli ID będzie zmienne to SID cookie nie będzie pasowało do ID sessji.
Czy warto dodać sól do hasła? Jak je potem odczytać?
Jednym słowem nie ogarniam
Ktoś może ładnie i przejrzyście to wytłumaczyć(+przykładowy kod)?Pozdrawiam
