Witam,

Zastanawiam sie wlasnie, jaki schemat autoryzacji uzytkownika jest najbardziej bezpieczny. Czy ponizszy "pseudokod" mozna uznac za bezpieczny?

[php:1:86052951e6]
<?php

session_start();

if( (!isset($_SESSION['user_name'])) or (!isset($_SESSION['user_pass'])) or (empty($_SESSION['user_login'])) or (empty($_SESSION['user_pass'])) {
if( (!isset($_POST['login']) ) {
// Formularz do logowania
} elseif( $_POST['login']=='tak' ) {
if( DANE_POPRAWNE ) {
// Sprawdzamy w bazie uzytkownikow, czy dane sa poprawne
// jesli tak, to ustawiamy zmienne sesji
} else {
// Logowanie sie nie powiodlo, powrot do formularza
}
} else {
// Nie ma takiej opcji
exit;
}
} else {
if( ZMIENNE_SESJI == DANE_W_BAZIE ) {
// Jesli sa ustawione zmienne sesyjne, pobieramy je i sprawdzamy, czy
// zgadzaja sie z danymi w bazie userow, jesli tak, to mamy dostep do strony
} else {
// Cofamy sie do formularza logowania
}
}

?>[/php:1:86052951e6]

Mozna sie jeszcze pokusic o dorobienie sprawdzania IP komputera, a moze cos jeszcze? Czekam na Wasze opinie

Nie jest chyba wskazane zapamiętywania hasła użytkownika w zmiennych sesyjnych.

Haslo jest kodowane md5(). Mozna tez zrobic specjalne tabele w bazie danych, tam beda dane takie jak ID uzytkownika, haslo, zakodowany identyfikator sesji itd. i pozniej porownywac, zamiast z golej sesji pobierac dane.. Jak sadzicie?

Można dodać jeszcze info czy ktoś jest już zalogowany, jeżeli tak to porównywać ip, jeżeli próbóje ponownie się zalogować.
md5() to nie kodowanie tylko "hashowanie"