 |
|
Модераторы: skyboy, MoLeX, Aliance, ksnk |
 
|
|
Авторизация для себя в скрипте 
| Elfet |
|
|||
 Белый и Пушистый  Профиль Группа: Awaiting Authorisation Сообщений: 3776 Регистрация: 2.4.2003 Репутация: нет Всего: 16 |
Wolf1994,
Чёт я не понял о чём ты  Хэши нужны для авторизации юзеров. Что бы каждый раз не вводить пароль повторно Так как насчёт моего кода?  Кто-нибудь может сказать безопасен ли он? |
|||
|
||||
Загрузка ...
| Wolf1994 |
|
|||
|
Эксперт Профиль Группа: Завсегдатай Сообщений: 1701 Регистрация: 5.10.2004 Репутация: нет Всего: 29 |
Я всё никак не могу понять - зачем использовать эти хэши. Чем отличается хранение пароля в хэше и в простом, незакодированном, виде? То есть, я так понимаю, при добавлении в хэш времени, придаётся дополнительная защита. А если использовать всего один параметр - сам пароль - зачем хэш? |
|||
|
||||
| ZlojEzh |
|
||||
 Опытный Профиль Группа: Участник Сообщений: 285 Регистрация: 8.10.2005 Где: Киев, Украина Репутация: 1 Всего: 15 |
найдут запросто более того, этот файл еще и поисковики, скорее всего, проиндексируют (даже если автолистинг папок отключен)
хеши используются для кодирования паролей даже если ты знаешь хеш пароля, восставновление по нему самого пароля займет очень много времени например, на сайте есть дыра под sql-injection позволяющая вывести на экран некую таблицу с хешами паролей даже если злобный хакер ) эту дыру найдет, получить пароль админа он все равно не сможет |
||||
|
|||||
| Wolf1994 |
|
|||
|
Эксперт Профиль Группа: Завсегдатай Сообщений: 1701 Регистрация: 5.10.2004 Репутация: нет Всего: 29 |
А что мешает этому хакеру установить соответсвующий кук с полученным хэшем? Ведь проверка идёт по кукам? |
|||
|
||||
| Ciber SLasH |
|
|||
 Эксперт Профиль Группа: Участник Клуба Сообщений: 1813 Регистрация: 9.11.2004 Где: С.-Петербург Репутация: нет Всего: 67 |
Да вобщем ничего не мешает. В куки записывать конфединциальную информацию нельзя. |
|||
|
||||
| ZlojEzh |
|
|||
|
Опытный Профиль Группа: Участник Сообщений: 285 Регистрация: 8.10.2005 Где: Киев, Украина Репутация: 1 Всего: 15 |
абсолютно ничто
поэтому куки лучше всего использовать (при создании системы авторизации) только для хранения идентификатора сессии а на сами сессии ставить ограниченный срок существования
все бы хорошо, но раз в час пользователю придется вводить пароль по-новой я бы все же использовал сессии... а еще лучше - .htaccess |
|||
|
||||
| Wolf1994 |
|
|||
|
Эксперт Профиль Группа: Завсегдатай Сообщений: 1701 Регистрация: 5.10.2004 Репутация: нет Всего: 29 |
А чем безвременные куки хуже сессий? Если вывод информации фильтруется (htmlspecialchars ()) и они не лежат в MySQL-базе, то ведь их нет возможности узнать?
|
|||
|
||||
| Ciber SLasH |
|
|||
|
Эксперт Профиль Группа: Участник Клуба Сообщений: 1813 Регистрация: 9.11.2004 Где: С.-Петербург Репутация: нет Всего: 67 |
Куки можно перехватить, а сессия хранится на сервере. |
|||
|
||||
| Elfet |
|
||||
|
Белый и Пушистый Профиль Группа: Awaiting Authorisation Сообщений: 3776 Регистрация: 2.4.2003 Репутация: нет Всего: 16 |
В том и заключаеться защита, что бы куки никто не воровал. Мой код имитирует сессии Очень простенько А то что каждый раз вводить новые - это да, но ведь я же хочу это для себя еделать только. Кстати такие штуки и в больших скриптах авторизации есть, например на masterhostе при входе в СР указываешь сколько будет длиться сессия |
||||
|
|||||
| paraZite |
|
||||||
 Новичок Профиль Группа: Участник Сообщений: 7 Регистрация: 9.4.2006 Где: /Ukraine/Mariupol Репутация: нет Всего: 1 |
Мой пример:
Это сообщение отредактировал(а) paraZite - 10.4.2006, 22:13 |
||||||
|
|||||||
| Ciber SLasH |
|
|||
|
Эксперт Профиль Группа: Участник Клуба Сообщений: 1813 Регистрация: 9.11.2004 Где: С.-Петербург Репутация: нет Всего: 67 |
paraZite, твой скрипт зациклится, т.к. ты при всех условиях перенаправляешь на этот же скрипт.
|
|||
|
||||
| paraZite |
|
|||
|
Новичок Профиль Группа: Участник Сообщений: 7 Регистрация: 9.4.2006 Где: /Ukraine/Mariupol Репутация: нет Всего: 1 |
хз... если логин и пасс не введены, а кукисы невалидны идёт вызов die();
если введены логин и пассс и они валидны, выставляются куки и скрипт редиректит пользователя сам на себя, а так как кукисы уже не пусты, скрипт завершает свою работу, опознав пользователя... Ща протестю ещё раз на всякий случай... У меня ничего не циклится. Это сообщение отредактировал(а) paraZite - 10.4.2006, 22:44 |
|||
|
||||
| IvanB |
|
|||
 Бывалый Профиль Группа: Участник Сообщений: 155 Регистрация: 23.5.2005 Где: Irkutsk Репутация: нет Всего: 5 |
Имхо, для улучшения безопасности содержимое кукиса желательно завязывать на IP пользователя и ID сессии (или что там у вас)...
Извините, если не то.....) --------------------
Закон отладки: Каждая последняя ошибка является предпоследней. |
|||
|
||||
| Elfet |
|
|||
|
Белый и Пушистый Профиль Группа: Awaiting Authorisation Сообщений: 3776 Регистрация: 2.4.2003 Репутация: нет Всего: 16 |
Это все понятно
А попробуйте сделать тоже самое без базы, как можно проще ;) |
|||
|
||||
| IvanB |
|
|||
|
Бывалый Профиль Группа: Участник Сообщений: 155 Регистрация: 23.5.2005 Где: Irkutsk Репутация: нет Всего: 5 |
Через файлы, чтоли?
--------------------
Закон отладки: Каждая последняя ошибка является предпоследней. |
|||
|
||||
|
|
Внимание: данный раздел предназначен для решения сложных, нестандартных задач.
| 1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей) | |
| 0 Пользователей: | |
| « Предыдущая тема | PHP: Для профи | Следующая тема » |
[ Время генерации скрипта: 0.1259 ] [ Использовано запросов: 21 ] [ GZIP включён ]
Реклама на сайте Информационное спонсорство
|
|
По вопросам размещения рекламы пишите на vladimir(sobaka)vingrad.ru
Отказ от ответственности Powered by Invision Power Board(R) 1.3 © 2003 IPS, Inc. |