Autor Zpráva
john
Profil *
Chci se zeptat je bezpečné přihlášení takové že se v db zjistí zdali existuje jemno spolu s heslem ktere uzivatel zadal a nasledovne kdyz souhlasi tak zaregistrovat session login="ok" ??

nebo existují nějaké online registratory session ci tak neco.?

nebo pokud znáte efektivnější způsob tak napište název. Předem dííky !
Dixie
Profil *
Já používám tenhle způsob.
Ale radši používej:

$SESSION['logged'] == true
okolojdouci
Profil *
john:
Chci se zeptat je bezpečné přihlášení takové že se v db zjistí zdali existuje jemno spolu s heslem ktere uzivatel zadal a nasledovne kdyz souhlasi tak zaregistrovat session login="ok" ??

Ano. Jen s tím, že v databázi neuchováváš heslo, ale jeho hash.
john
Profil *
HASH..?
okolojdouci
Profil *
john:
HASH..?

Google je kamarád.
Hash je řetězec, který dostaneš z libovolného textu hashovací funkcí. Opačný postup není možný, tzn. z hashe nelze získat heslo.
V databázi skladuješ hash a při loginu ho porovnáváš s hashem toho, co člověk zadal jako heslo. Smyslem je, že v databázi neskladuješ hesla, takže případnému úspěšnému útočníkovi nestačí k tomu, aby se přihlásil.

Tolik jakýsi zjednodušený princip. Praktická bezpečnost hashe tak jednoznačná není, ale bezpečnost ukládání hashe versus ukládání hesla je nesrovnatelná.
Jo a implementace je asi tak 10x jednodušší, než tenhle můj popis. Hledej md5 (jedna z hashovacích funkcí, běžně používaná)
Dixie
Profil
Prostě je to zakódování hesla tak, že bude mnohem těžší pro kohokoliv to heslo ukrást.
normálně by šlo například vložit neviditelný rám nic netušícímu uživateli, ve ketrém by byl skript odesílající vyplněná data ve formuláři mailem atd... S hashem se tomuhle vyhneš, jestli to chápu dobře. Nějak moc podrobně jsem to nestudoval.
Han
Profil
okolojdouci:
Samozrejme a na md5 nájdeš ešte aj online decrypter, ale súhlasím že stále lepšie ako ukladať heslá "len tak" :)
john
Profil *
jo takhle :) samozrejme ze ukladam hesla do md5

takze staci pro bezpecne prihlaseni uzivatele pouzivat $_SESSION['login']="ok"

:) děkuju všem
helpik.JPW
Profil
john:
$_SESSION['login']="ok"

- stačí, ale spávnější je jako psal Dixie

$SESSION['logged'] == true


Nemusíš pak security stránkách to "ok" v "login", ale stačí pravdu "logged".
steev77
Profil *
Ještě je tu otázka bezpečnosti samotného session http://www.security-portal.cz/clanky/advanced-session-stealing-cast-1. html

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: