28/06/09 10:35
matteoiamma
Si,
la cosa migliore è fare cosi'(In teoria):
Creare una tabella mysql che gestisce le sessioni e anzichè usare i cookie($_COOKIE) usare le sessioni($_SESSION) ...Che secondo me sono piu' sicure).
Poi fixare i $_GET e i $_POST con la funzione stripslashes
Ultima modifica effettuata da matteoiamma 28/06/09 10:36
aaa
29/06/09 6:50
Xaratroom
Postato originariamente da Thejuster:
posso dire che il mio sistema di login autentificazione possa essere uno dei migliori
e un login tramide md5 e act
in pratica la password e l'username vengono criptati
1° in md5 dopo in base64 e dopo di nuovo in md5
nel cookie va passato solo il nick criptato mentre la pass va inviata in get
sotto una voce poco comprensibile del tipo index.php?act=home&at=64tas658+Hd4B
Quindi se io cripto un nick e creo un cookie con dentro il nick criptato che succede ?
Mi loggo come per magia senza password ?
Per non parlare del calo di prestazioni.
Nella tabella utenti va messa una colonna (chiamiamola "utenti.autenticazione"
: ogni volta che un utente si logga, l'applicativo crea una stringa casuale univoca. Ogni volta che un utente esegue il logout, l'applicativo, elimina la stringa.
Nel cookie ci va la stringa contenuta in autenticazione.
EDIT:
Quando voglio sapere chi è l'utente, faccio una cosa simile a questa:
mysql_query ("select * from utenti where autenticazione = '".mysql_escape_string($appoggio)."'");
Nel codice $appoggio è il valore prelevato dal cookie (naturalmente un valore valido).
Ultima modifica effettuata da Xaratroom 29/06/09 7:09
aaa
29/06/09 7:13
Thejuster
il sistema che uso è diverso
e ti assicuro che non puoi mai loggarti
puoi scrivere quel che vuoi nel cookie del nick
1° deve essere criptato e dopo passato nel coockie
nel get va inserita la password criptata,
allo stesso modo in cui il nick viene criptato.
md5 base64 md5
i dati al login vengono confrontati
e viene avviata una sessione.
posso dirti che posso criptare il nick altre 50 volte e sarà sempre diverso.
più o meno lo stesso sistema di phpbb3
se phpbb3 fa spreco di risorse utilizzando un crypt simile al mio non credo che adesso sarebbe il miglior board free che esista.
può essere anche una buona idea il tuo esempio
sull'appoggio ma
per questo prima ho detto ognuno ha il suo modo, il suo sistema e la sua tecnica di programmazione.
PS:
l'idea di dare valori casuali al campo è ottima.
la terrò presente la prossima volta
resta il fatto che stiamo andando OT alla discussione principale.
il problema e stato risolto quindi chiudo.
Ultima modifica effettuata da Thejuster 29/06/09 7:22