Salve a tutti....
sto studiando l'autenticazione e mi sto confondendo un pochino..
Non riesco a capire ma l'utilizzo delle sessioni nell'autenticazione tramite user id e password recuperata dal DB è necessaria oppure l'utilizzo della sessione e un modo "raffinato" per svolgere al'utenticazione stessa?
grazie per le risposte
whelp
se per modo raffinato intendi dare un minimo di sicurezza al proprio sistema di autenticazione allora si ... tecnicamente puoi pure mettere nel cookie il nome utente e la password ed eseguire ogni volta l'autenticazione ... ma sarebbe parecchio oneroso in termini di performance
VM su SSD da 5$! https://www.digitalocean.com/?refcode=f6925c7f0ddb
.... questo perchè tramite la sessione io posso "passare" tra le varie pagine lo stato di "loggato" tramite una variabile del tipo $_SESSION['user_auth'] = vero; altrimenti per ogni pagina dovrei riloggarmi giusto???
Ma per assurdo se l'area in cui devo accedere fosse di una sola pagina è necessazio utilzzare la sessione?
whelp
è un puro suicidio fare come vuoi fare tu
le sessioni sono condivise su PHP, quindi si potrebbe accedere al file della propria sessione, dallo stesso hosting, e andare a fare la modifica ... magari tramite qualche attacco cross-site (tramite il sito vulnerabile numero UNO si può effettuare un danno al sito numero DUE)
Personalmente ti sconsiglio di utilizzare le sessioni di php, lo stesso rasmus le sconsiglia (cosi come le variabili globali e tanta altra roba): sviluppati del proprio codice per gestire le sessioni su database con le varie informazioni che servono
VM su SSD da 5$! https://www.digitalocean.com/?refcode=f6925c7f0ddb
Permessi di invio
Rispondi quotando