Ako na registráciu a prihlásenie užívateľa?

Zdravím,

ze zkušenosti vím, že uživatel nechce vyplňovat při registraci moře dat, zvolil bych tedy formulář s minimem dat co je třeba zadat (většinou bývá jméno a heslo) a pak v administraci udělat možnost úpravy profilu.

K tvému problému: tvoje domněnka se session je správná, je to jedno z řešení, ale dávej pozor na to, co bude obsahem session a nezapomeň regenerovat session při každém reloadu stránky kvůli podstrčení. Do session je vhodné dát třeba nějaký hash, který vygeneruješ při přihlášení a uložíš do databáze spolu s časem a id uživatele, tak nikde nikdo nedokáže vyčíst kdo je přihlášený, jakou má roli či jiné údaje a navíc máš záznam kdy byl uživatel přihlášen (historie). Nebo může session obsahovat id uživatele a jeho roli, pak sice někdo může přečíst session a něco se dozvědět, ale tyto informace mu jsou k ničemu.

Co ale musíš řešit v obou případech je možnost odcizení (a tedy následné podvržení) cookies uživatele. SID se pokud se nemýlím ukládá do cookies a hodnota je klíč k session, proto výše zmíněná regenerace při každém načtení stránky.

EDIT: napsal jsem to zmateně, session se ukládá do session, ale můžeme si ho představit jako asociativní pole (což není), kde klíč je hash, který se ukládá do cookies uživatele.

jefitto44:
Princip: http://www.pocet-znaku.cz/hash

Důrazně doporučuji neukládat hesla v MD5 nebo SHA 1 nebo 2 funkcích. MD5tka není dělaná na hesla a SHA jsou lehké překonat a to i solené například pomocí nástroje Hashcat.
Mrkni se přímo po tom navržených funkcích a to je třeba Crypt. Více viz http://php.net/manual/en/function.password-hash.php