Autor Zpráva
jefitto44
Profil
Zrobiť dva formuláre, jeden veľký - registračný, kde bude všecko, druhý prihlasovací, kde bude len meno a heslo. To mi je jasné. Pri registrácií INSERTUJEM údaje do vopred pripravenej databázy, takže sa tam uloží registrácia s užívateľovými hodnotami. Pri prihlásení zas VYSELECTUJEM meno a heslo a porovnám so zadanými premennými, či sa zhodujú, ak áno, užívateľa prihlási a čo ďalej?

Nejaké session by to asi chcelo, ktoré si pamätá, že je užívateľ prihlásený... správne? A kým nevypne prehliadač, resp kym neexpiruje session, tak bude užívateľ prihlásený. Následne potom odhlasovacie tlačitko riešim ako ukončenie session... dobre rozumiem?
Jozin
Profil
Zdravím,

ze zkušenosti vím, že uživatel nechce vyplňovat při registraci moře dat, zvolil bych tedy formulář s minimem dat co je třeba zadat (většinou bývá jméno a heslo) a pak v administraci udělat možnost úpravy profilu.

K tvému problému: tvoje domněnka se session je správná, je to jedno z řešení, ale dávej pozor na to, co bude obsahem session a nezapomeň regenerovat session při každém reloadu stránky kvůli podstrčení. Do session je vhodné dát třeba nějaký hash, který vygeneruješ při přihlášení a uložíš do databáze spolu s časem a id uživatele, tak nikde nikdo nedokáže vyčíst kdo je přihlášený, jakou má roli či jiné údaje a navíc máš záznam kdy byl uživatel přihlášen (historie). Nebo může session obsahovat id uživatele a jeho roli, pak sice někdo může přečíst session a něco se dozvědět, ale tyto informace mu jsou k ničemu.

Co ale musíš řešit v obou případech je možnost odcizení (a tedy následné podvržení) cookies uživatele. SID se pokud se nemýlím ukládá do cookies a hodnota je klíč k session, proto výše zmíněná regenerace při každém načtení stránky.

EDIT: napsal jsem to zmateně, session se ukládá do session, ale můžeme si ho představit jako asociativní pole (což není), kde klíč je hash, který se ukládá do cookies uživatele.
jefitto44
Profil
shit... netuším čo je hash...

nejaký schopný článok, ktorý by mi mohol pomôcť?
mimochodec
Profil
jefitto44:
Princip: http://www.pocet-znaku.cz/hash
Enko
Profil
Důrazně doporučuji neukládat hesla v MD5 nebo SHA 1 nebo 2 funkcích. MD5tka není dělaná na hesla a SHA jsou lehké překonat a to i solené například pomocí nástroje Hashcat.
Mrkni se přímo po tom navržených funkcích a to je třeba Crypt. Více viz http://php.net/manual/en/function.password-hash.php

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: