Autor Zpráva
Grr
Profil *
Četl jsem předchozí téma a tam jsem se dočetl že přihlašování přes cookies je špatné ale já to nemám tak úplně pře cookies ale i s databázema atd. tak tady popíšu muj nápad který jsem už realizoval a zajímalo by mě jestli je to takhle správné a jak je teto způsob bezbečný prostě všechny připomínky mi prosím napište.
No a teď samotný můj nápada
Tak mám tabulku v databázi kde mam údaje id , uzivatel ,kod_prihlaseni , ip , heslo(to nemám ještě zakódované ale na to přijde čas)
no když nějaký uživatel vyplní správně svoje do přihlašovacího formuláře tak nejdříve skript zjistí jestli uživatel exsistuje (koukne se do databáze) pak zjistí jestli napsal správně heslo(taky se kouikne do databáze) a když všechno sedí tak udělá další krok to jest vygeneruje náhodný kód který uloží do databáze ( kod_prihlasení... má asi 30 znaků) a zjistí ip odkud se uživatel přihlásil tu hodí taky do databáze (ip) .poté vytvoří cookie v do kterého vloží ten náhodně vygenerovaný kód(stejný jak v databázi)... tak to je vše co udělá a potom jen porovnává jsetli se vygenerovaný kód v databázi rovná kódu v cookies a jestli se ip v databázi rovná ip kde je uživatel (to je možná zbitečné(to ip) ale kuli větší bezpečnosti jsem to tam dal). no a to je všechno když klikne uživatel na odhlásit tak skript vymaže cookie a záznamy v databázi (kod_prihlášeni a ip).



Ještě jednou zopakuju ... zajímají me vaše názory na tento způsob a různá vylepšení . věci co se týkají bezpečnosti atd. předem děkuji za odpovědi:)
Lamicz
Profil
Zbytecne slozity...
Vzdyt je to porad dokola - vyplnim login, heslo, overim udaje s db, ulozim session s ID uzivatele. Pri odhlaseni zavolam unset na tu session. Zadny cookie k tomu nepotrebuju.
Hlavni problemy s cookie jsou tyto:
a) daji se normalne precist
b) daji se libovolne menit
c) daji se libovolne vytvaret
S "databazema" to ma skoro kazdy, ale pres cookies je to proste spatne.
Grr
Profil *
Hlavni problemy s cookie jsou tyto:
a) daji se normalne precist
b) daji se libovolne menit
c) daji se libovolne vytvaret
S "databazema" to ma skoro kazdy, ale pres cookies je to proste spatne.


o tech problémej s cookies vim a to že se dají přečíst je mislim jedno když ten kod je jen na jedno přihlášení a pochybuju že by někdo uhodnul 30mistnej kod takže to že je může někdo změnit mě může bejt taky jedno a to že cookies numusí mít každej zaplí vím a prostě otěch všch problémech ale kdyby mi sem teda někdo napsal co to session je a jak se s tim pracuje tak to rád změním:)))
panther
Profil
Grr
ale kdyby mi sem teda někdo napsal co to session je a jak se s tim pracuje tak to rád změním:)))
a co kdyby sis něco sám přečetl? O Sessionách toho bylo napsáno na spoustě míst plno.
Grr
Profil *

Grr
„ale kdyby mi sem teda někdo napsal co to session je a jak se s tim pracuje tak to rád změním:)))“
a co kdyby sis něco sám přečetl? O Sessionách toho bylo napsáno na spoustě míst plno.


předtím než jsem začal dělat přihlašování tak jsem hledal a nic jsme nenašel tak jsem chvili přemejšlel a napado mš co sem napsal ale teď mam aspoň klíčový slovo "session" o tom jsem předtím nevěděl tak dík a jdu se ze ptat googlika :))
Grr
Profil *
no tak jsem si něco o tom session přečet a jestli to dobře chápu tak je to vlastně cookie ale není uložený u uživatel v pc ale na serveru todíš se kni uživatel nedostane?:))
panther
Profil
Grr
tak je to vlastně cookie ale není uložený u uživatel v pc ale na serveru todíš se kni uživatel nedostane
pokud to hodně zjednodušíš a přivřeme oči, tak by se to tak dalo říct.
Alphard
Profil
Grr:
Tohle vypadá přijatelně, je to plus mínus způsob, jak zajistit trvalé přihlášení. Jen heslo by mělo být v databázi ve formě hashe. S IP je to těžší, zvyšuje bezpečnost, ale někdo s mobilním připojením (každou minutu může mít jinou IP) by to viděl jinak.
Pokud je někdo přihlášený déle, neškodilo by občas updatovat kod_prihlaseni.

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: