Удачненько тема появилась. Такой вопрос - Как лучше реализовывать авторизацию? т.е. через куки или через сессию? И еще, как бы то нибыло, как будет правильнее сделать - записать логин-пароль в куки/сессию и каждый раз при заходе сверять их с тем, что хранится в БД или в случае первой удачной проверки записать в куки/сессию данные, по проверки которых проверка логин-пароля не требуется? К примеру


Заранее благодарен.  

Валера, хранить логин-пароль в куки неразумно, ибо тогда они становятся доступными для злоумышленников. И есть еще один минус, если в куках будет храниться некое постоянное значение (переменная X), то злоумышленник может скопировать этот X (при доступе к компьютеру), принести его себе домой, вставить себе в куки и легко войти на сайт. И теперь он сможет каждый раз иметь возможность войти под учетной записью этого человека, потому что X не изменяется!

Вывод: нужна случайная величина (ключ - key). 
1. Создаем дополнительное поле в БД - key
2. При каждом обращении авторизованного пользователя генерируешь некую случайную величину, например 20 символов: "de984jfdg343fgo4fle0". Теперь это перенная KEY. Записываешь этот KEY пользователю в куки. И записываешь этот KEY в БД в таблицу с пользователями в поле key, для записи этого пользователя. Все, запоминалка есть.
3. При каждом обращении не-авторизованного пользователя, берешь у него из куков переменную KEY, и ищешь её в БД. Если такая переменная есть, то автоматом авторизуешь пользователя. И сразу(!) повтояешь все, что в пункте 2!

Вооот, кто считает что я не прав?

если злоумышленник, имея доступ к компьютеру, установит троянчика, который будет слать ему лог нажатых клавиш, то он сразу получит логин/пароль.

http://board.mal-hack.net/lofiversion/index.php/t262.html

Всем спасибо за участие =)
Mal Hack, спасибо большое, очень познавательная и полезная статья. У меня только два вопроса - а что делать, если нет возможности использовать CRON -  данные из таблицы сессий придется удалять вручную? Или есть еще какой-нибудь способ? И второй вопрос - почему-то при всем желании не отображается полная версия форума, а в этой регистрации я не нашел, в то время, как 
Вот. Был у меня еще какой-то вопрос, но сейчас не соображу, попозже отпишу, если вспомню...
Заранее благодарен.

Валера, если нет возможности использовать CRON, то надо не выпендриваться, а использовать встроенный механизм сессий. Которым не нужен ни крон, ни БД, да и вообще всё в 10 раз проще.

Mal Hack, не позорился бы, исправил функцию get_ip(). Сто раз же уже говорили.
И куки надо исправить на сеансовые.

В самом скрипте просто делаешь лишний запрос на удаление лишних записей.. Дабы не грузить базу, можно делать запрос, в какой-то интервал времени...


Потому что ее нет, т.к. держать ее в адекватном состоянии нет времени.


Сессии без кукисов жить все равно не могут... Каждый выбирает то, что ему удобнее ;)


Возьмите, напишите свою статью и отражайте там все, что хотите... Я считаю в данном вопросе определение IP не настолько важно для новичка...

Вроде и без кукисов работает просто в этом случае идентификатор сесии прибовляется ко всем ссылкам

Речь не о сессиях, а о куках. 
[вырезано]

!  skyboy

без наездов и личностных выпадов

Это сообщение отредактировал(а) skyboy - 26.12.2007, 15:23

Хорошо, а тогда как там зарегистрироваться? Ибо хотелось бы скачать рабочий файл, дабы убедиться, что правильно все понял.