Autor | Zpráva | ||
---|---|---|---|
jefitto44 Profil |
#1 · Zasláno: 19. 8. 2014, 07:47:31
Zrobiť dva formuláre, jeden veľký - registračný, kde bude všecko, druhý prihlasovací, kde bude len meno a heslo. To mi je jasné. Pri registrácií INSERTUJEM údaje do vopred pripravenej databázy, takže sa tam uloží registrácia s užívateľovými hodnotami. Pri prihlásení zas VYSELECTUJEM meno a heslo a porovnám so zadanými premennými, či sa zhodujú, ak áno, užívateľa prihlási a čo ďalej?
Nejaké session by to asi chcelo, ktoré si pamätá, že je užívateľ prihlásený... správne? A kým nevypne prehliadač, resp kym neexpiruje session, tak bude užívateľ prihlásený. Následne potom odhlasovacie tlačitko riešim ako ukončenie session... dobre rozumiem? |
||
Jozin Profil |
Zdravím,
ze zkušenosti vím, že uživatel nechce vyplňovat při registraci moře dat, zvolil bych tedy formulář s minimem dat co je třeba zadat (většinou bývá jméno a heslo) a pak v administraci udělat možnost úpravy profilu. K tvému problému: tvoje domněnka se session je správná, je to jedno z řešení, ale dávej pozor na to, co bude obsahem session a nezapomeň regenerovat session při každém reloadu stránky kvůli podstrčení. Do session je vhodné dát třeba nějaký hash, který vygeneruješ při přihlášení a uložíš do databáze spolu s časem a id uživatele, tak nikde nikdo nedokáže vyčíst kdo je přihlášený, jakou má roli či jiné údaje a navíc máš záznam kdy byl uživatel přihlášen (historie). Nebo může session obsahovat id uživatele a jeho roli, pak sice někdo může přečíst session a něco se dozvědět, ale tyto informace mu jsou k ničemu. Co ale musíš řešit v obou případech je možnost odcizení (a tedy následné podvržení) cookies uživatele. SID se pokud se nemýlím ukládá do cookies a hodnota je klíč k session, proto výše zmíněná regenerace při každém načtení stránky. EDIT: napsal jsem to zmateně, session se ukládá do session, ale můžeme si ho představit jako asociativní pole (což není), kde klíč je hash, který se ukládá do cookies uživatele. |
||
jefitto44 Profil |
#3 · Zasláno: 19. 8. 2014, 09:11:50
shit... netuším čo je hash...
nejaký schopný článok, ktorý by mi mohol pomôcť? |
||
mimochodec Profil |
#4 · Zasláno: 19. 8. 2014, 09:26:03
jefitto44:
Princip: http://www.pocet-znaku.cz/hash |
||
Enko Profil |
#5 · Zasláno: 19. 8. 2014, 11:35:29
Důrazně doporučuji neukládat hesla v MD5 nebo SHA 1 nebo 2 funkcích. MD5tka není dělaná na hesla a SHA jsou lehké překonat a to i solené například pomocí nástroje Hashcat.
Mrkni se přímo po tom navržených funkcích a to je třeba Crypt. Více viz http://php.net/manual/en/function.password-hash.php |
||
Časová prodleva: 10 let
|
0