Наши проекты:
Журнал · Discuz!ML · Wiki · DRKB · Помощь проекту |
||
ПРАВИЛА | FAQ | Помощь | Поиск | Участники | Календарь | Избранное | RSS |
[18.218.254.122] |
|
Сообщ.
#1
,
|
|
|
Вот даже не знаю, как обхяснить и поймут ли меня, но все же попытаюсь..
Как я понимаю, большая часть пользователей PHP для аутентификации пользователей пользуются стандартными встроенными в PHP методами.. Я реализовал несколько иную систему: 1. человек ввел в поля формы на странице login.html имя пользователя и пароль, нажал на SUBMIT "войти", все данныне передаются в auth.php. В auth.php эти данные проверяются на наличие и валидность, т.е проверяется, были ли переданы эти перемнные, какова их длина и т.д. Далее запросами проверяюю есть ли такой пользователь с таким паролем. Если есть, завожу перемнную $Session=md5(uniqid(microtime())) и записываю в базу данных с сесиями, что такой-то пользователь с вот эти session пребывает в системе. Далее пользователь проходит в систему со строкой "&User=ID_юзера&Session=длинная строка символов", эта строка передается везде с ним, пока он гуляет по системе.. (притом это грамотно реализовано, т.е. не может быть такой ситуации, что пользователь нажмет что-нибудь не то и его выкинет). В каждом углу (логически) натыкана функция, которая проверяет наличие такого пользователя с таким session в системе. Если его нет - выкидывает, если есть - работа продолжается. выскажите свое мнение, пожалуйста.. Особенно с точки зрения защиты |
Сообщ.
#2
,
|
|
|
Зачем ты изобрел велосипед? Стандартный механизм сессий легко замещается вызовом функции session_set_save_handler().
Тут стоит почитать: PHP Inside #4 Наша Лаборатория, пост #8 Извлекаем чужие сессии в PHP О секурности твоего кода, не зная деталей, сказать не могу. |
Сообщ.
#3
,
|
|
|
Код однозначно секурный или таковым не является. Но однозначно что-то есть.
Секурентность кода определяется его способностью противостоять неправовым запланированным или внешним спонтанным воздействиям, а код секурентен, т.к. как бы на него не воздействовали, всё одно его нет, знать и он воздействовать не на что не сможет. Другое дело, когда мы станем считать, что вымышленные вещи реальны, но, думаю, до такого состояния жить ещё лет шестьдесят или более. Mastilior, а код всё же секурентней велосипеда. Каррамба, вот. |
Сообщ.
#4
,
|
|
|
Насчет велосипеда это еще или уже не вопрос, а насчет мд5 и микротайма - по моему ерундень.
если мне не изменяет память, я в старой-престарой книге по пхп3 такой метод видел - потому что в пхп3 сессии были то ли кривыми то ли их вообще не было. p.s. Кроме того session_set_save_handler - весьма и весьма удобная штука! Автору топика надо мануал почитать, однозначно, он поймет красоту реализации и прочую дезинтеграцию вследствие юзания всяких лесиков. |
Сообщ.
#5
,
|
|
|
Цитата e1f, 15.09.04, 20:32 потому что в пхп3 сессии были то ли кривыми то ли их вообще не было Их там небыло |