Witam, chce stworzyć auto logowanie działające na zasadzie: Zalogujesz się poprawnie do serwisu, to auto logowanie automatycznie samo się uruchamia, czyli bez żadnych checkboxów, chcesz czy nie, autologowanie będzie włączone.

Fragment kodu, odpowiadającego za autologowanie:


sid - to sesja, którą rozpocząłem (session_name, session_start)
$row['uzytkownikID']; - to ID użytkownika zalogowanego pobranego
$haslo - haslo, które wpisał w formularzu logowania ($_POST)


Jednak mam parę pytań odnośnie cookies, auto logowania;

a) $cos - co tutaj mam wstawić? liczbę 24 , czy co?
Czy powyższy kod (a raczej wycinek) jest bezpiecznym kodem, nie grozi mi atak XSS ? itp?
c) Czy zmienna $hasło , która przechowuje hasło użytkownika powinna być bardziej zakodowana ? np. md5 + inne kodowania? czy md5 starczy?
d) Czy powyższy wycinek kodu spowoduje efekt automatycznego logowania?
Ponieważ w formularzu logowania nie będzie pytania "Zalogować auto" tylko chciałbym tak napisać skrypt aby WYMUSZAŁ logowanie auto.

a ) w tym przypadku można powiedzieć, że $cos to ilość lat ważności ciastka bo "time()+60*60*24*365" to rok a mnożysz jeszcze przez $cos.
b ) nie wiem
c ) ja dopiero się uczę i na razie ograniczam się do zwykłego md5 ale podobno nie jest to wystarczające zabezpieczenie.
d ) nie, powyższy wycinek ustawia tylko plik cookie. Jak chcesz zrobić automatyczne logowanie to nie wystarczy wysłać ciastko z danymi ale przy wejściu na stronę musisz sprawdzić czy użytkownik ma ciacho i czy podane w nim wartości zgadzają się z tymi w bazie, wtedy go zalogować.

Witam.

time()+$cos * 60 * 60 * 24 * 360
To wg mnie możesz zupełnie wyrzucić, no chyba że chcesz autowygasanie ciastka.

2. Co do bezpieczeństwa, to jest raczej bezpiecznie .

3. md5 starczy

4. Dopóki nie będziesz sprawdzał egzystencji ciasteczka zrobionego tym kodem to nic się nie stanie

Pozdrawiam
DevonSix

//Czy powyższy kod (a raczej wycinek) jest bezpiecznym kodem, nie grozi mi atak XSS ? itp?
aby XSS się wykonał musiał byś dać echo bo XSS to javascript .

pomysł z ciastkami imho bardzo słaby ,
user szybko dojdzie że używasz samego md5 co w przypadku przechwycenia czyjegoś ciastka zakończy się tragicznie.

;o Jak hasło będzie 2/3 literkami to tak no ale jak user da 8 znakowe z literami i cyframi to i tęczowe tablice za bardzo nie pomogą

dla tęczowej to bez znaczenie , mowa raczej o brutal force .
A zakładanie że wszyscy dają hasła typu A3$^vVe3[]X jest raczej naiwnością .

No dobra, to co niby użyć zamiast md5? Niby można powydziwiać w stylu md5(crypt(md5(md5('asd')))) ale nie wiem czy to dobry pomysł jest?

Najprościej byłoby session_set_cookie_params" title="Zobacz w manualu PHP" target="_manual i ustawić czas na odpowiednio długi. Do tego jeszcze jakiś losowy hash w sesji i dodatkowym ciastku, aby zweryfikować, czy ktoś SID-a nie wstrzyknie.

http://www.beldzio.com/autologowanie