Ciao ragazzi!
Vrrei fare un sistema di gestione utenti che funzioni come quello di phpBB o vbulletin, cioè che consenta all'utente di flaggare un checkbox per non dover eseguire sempre il login...
Come posso impostare il tutto?
attualmente uso le sessioni per identificare l'utente, ed ovviamente non posso ricordarlo la volta successiva, voi che fareste?
Ho provato ad utilizzare il sistema di sessioni su DB con l'articolo di gm, ma non ci sono riuscito...
mi date una mano?
Ciao!
devi utilizzare i cookie. in giro ci sono molti script di login sessioni + cookie già fatti che puoi studiare
http://www.trustweb.it - Web Development - Design 2D/3D - SEO & SEM
Twitter http://twitter.com/#!/TrustWeb
LinkedIn http://it.linkedin.com/in/trustweb
Io vorrei una mano afare un codice mio ex-novo!
Ciao!
Se posti il codice di autenticazione dell'utente vediamo che si puo' fare ^^
Il codice non esiste ancora, sono qui per realizzarlo di sana pianta!
attualmente lo identifico e registro una semplice sessione!!
Ciao!
Urca...allora la cosa si fa lunghetta
Ti consiglio di guardare e CAPIRE del codice che trovi in rete. E' pieno di sistemi di login/autenticazione in giro per il web. Se te lo prepariamo noi va a finire che non capisci una mazza. In caso se ti blocchi su dei passaggi o non capisci qualcosa...siamo qua.
Allora, io non voglio che facciate voi il codice, ci mancherebbe!
vorrie una mano a svilupparlo e una spiegazione di come posso registrare la sessione ed il cookie che ricordi i dati in maniera sicura...
tempo fa avevo seguito questo sistema:
eseguivo il login, settavo un cookie con il valore di id dell'utente.
se il cookie non veniva cancellato ricordando i dati, al successivo ingresso riconoscevo l'utente e non richiedevo i dati di accesso.
mi sono accorto che però opera consente di cambiare il valore del cookie e che quindi era molto semplice entrare con i dati di qualcun'altro...
ecco perchè vorrei un sistema sicuro basato su un sistema simile a quello dei forum citati...
io di php non sono un genio, ma non sono neanche a zero...
mi basta il concetto, poi il codice lo buttiamo giù insieme...
Ciao!
Credo che l'unico modo per fare un sistema di auto-relogin sia tramite i cookies. Per renderli più sicuri basta dargli codici assurdi, tipo hashati o cmq lunghi e random. Hai presente come funziona la verifica di una registrazione? ecco...
Assegni un codice random e lungo al cookie dell'utente, che per auto-loggarsi, dovraà coincidere con il codice registrato nel DB. Se fai un numero a 32 cifre hashato magari con MD5 sei tranquillo che nessuno becca quello di un'altro
Ovviamente associalo ad un Nick ^^'
siamo sicuri che non è possibile beccare il codice di un altro?
cioè, che fosse tramite cookie, ne ero certo, mi chiedevo se non ci fossero altri controlli da eseguire per verificare che non possa cambire semplicemente il valore del cookie e "a culo" trovare quello di un altro iscritto!
tutto qui!
come possiamo essere certi di evitare questo problema?
Ciao!
Nella tabella sessioni inserisci l'ID dell'utente e una stringa hashata generata casualmente, tutto questo al login dell'utente.
Poi registri tutto nel cookie. Quando l'utente torna a visitare il sito controlli se il cookie è presente....se lo è controlli che ID ha registrato e lo prelevi. Poi guardi nella tabella sessioni e vedi se il codice del cookie coincide con quello di quella riga del DB, se coincide allora l'utente è quello giusto.
Conq uesto metodo, per beccare i valori di un'altro utente devi praticamente, oltre a beccare "a culo" il codice hashato di un'altro, devi beccare anche l'Id corrispondente giusto...è quasi impossibile.
Addirittura potresti usare la password dell'utente hashata con MD5...non essendo possibile risalire alla password originale non si corrono rischi.
Permessi di invio
Rispondi quotando
