PHP - Sistema Login - PieroTofy.it

28/06/09 7:40

Postato originariamente da Enemy:

Vero, anche perche' nel coockie viene memorizzato solo l'user, in pratica e' facile creare un cookie e loggarsi sapendo solo il nick.

Il sistema me lo sono riadattato, con amici ho fatto prove per quanto riguarda la sicurezza.

Nel coockie bisogna mettere anche l' md5 cosi da rendere sicuro anche l'accesso.

Io, fossi in te, userei due o più sessioni...così sei sicuro!

aaa

28/06/09 9:43

Xaratroom

Postato originariamente da Enemy:
Nel coockie bisogna mettere anche l' md5 cosi da rendere sicuro anche l'accesso.

Mettici un valore generato casualmente in fase di login (unique naturalmente).

aaa

28/06/09 10:35

matteoiamma

Si,
la cosa migliore è fare cosi'(In teoria):

Creare una tabella mysql che gestisce le sessioni e anzichè usare i cookie($_COOKIE) usare le sessioni($_SESSION) ...Che secondo me sono piu' sicure).

Poi fixare i $_GET e i $_POST con la funzione stripslashes

Ultima modifica effettuata da matteoiamma 28/06/09 10:36

aaa

28/06/09 23:05

Thejuster

io sono del parere che ognuno ha il suo sistema e la sua modalità di scrittura,
nessuno programma nello stesso modo di un'altra persona.

posso dire che il mio sistema di login autentificazione possa essere uno dei migliori

e un login tramide md5 e act

in pratica la password e l'username vengono criptati
1° in md5 dopo in base64 e dopo di nuovo in md5

nel cookie va passato solo il nick criptato mentre la pass va inviata in get
sotto una voce poco comprensibile del tipo index.php?act=home&at=64tas658+Hd4B

quindi credo che ognuno di noi abbia un proprio sistema.
semplicemente ho mostrato il medoto piu facile per effettuar un login
poi ovviamente sarà il programmatore ad adottare le misure giuste precauzionali :k:

mire.forumfree.it/ - Mire Engine
C# UI Designer

29/06/09 6:50

Xaratroom

Postato originariamente da Thejuster:
posso dire che il mio sistema di login autentificazione possa essere uno dei migliori

e un login tramide md5 e act

in pratica la password e l'username vengono criptati
1° in md5 dopo in base64 e dopo di nuovo in md5

nel cookie va passato solo il nick criptato mentre la pass va inviata in get
sotto una voce poco comprensibile del tipo index.php?act=home&at=64tas658+Hd4B

Quindi se io cripto un nick e creo un cookie con dentro il nick criptato che succede ?
Mi loggo come per magia senza password ?
Per non parlare del calo di prestazioni.

Nella tabella utenti va messa una colonna (chiamiamola "utenti.autenticazione"

: ogni volta che un utente si logga, l'applicativo crea una stringa casuale univoca. Ogni volta che un utente esegue il logout, l'applicativo, elimina la stringa.
Nel cookie ci va la stringa contenuta in autenticazione.

EDIT:
Quando voglio sapere chi è l'utente, faccio una cosa simile a questa:

mysql_query ("select * from utenti where autenticazione = '".mysql_escape_string($appoggio)."'");

Nel codice $appoggio è il valore prelevato dal cookie (naturalmente un valore valido).

Ultima modifica effettuata da Xaratroom 29/06/09 7:09

aaa

29/06/09 7:13

Thejuster

il sistema che uso è diverso

e ti assicuro che non puoi mai loggarti
puoi scrivere quel che vuoi nel cookie del nick
1° deve essere criptato e dopo passato nel coockie

nel get va inserita la password criptata,
allo stesso modo in cui il nick viene criptato.

md5 base64 md5

i dati al login vengono confrontati
e viene avviata una sessione.

posso dirti che posso criptare il nick altre 50 volte e sarà sempre diverso.
più o meno lo stesso sistema di phpbb3

se phpbb3 fa spreco di risorse utilizzando un crypt simile al mio non credo che adesso sarebbe il miglior board free che esista.

può essere anche una buona idea il tuo esempio
sull'appoggio ma
per questo prima ho detto ognuno ha il suo modo, il suo sistema e la sua tecnica di programmazione.

PS:
l'idea di dare valori casuali al campo è ottima.
la terrò presente la prossima volta :k: