[php] sicurezza login

**lilo** · 18-05-2007, 20:41

Ho appena finito di realizzare una mia piccola area riservata, con queste caratteristiche:
- multiutente
- user e pass vengono registrati in un db (pass tramite md5)
- all'interno delle pagine dell'area riservata, viene passato il campo "user" tramite sessione

Dal punto di vista della sicurezza, affidabilità, prestazioni - in ogni pagina è meglio:
1) controllare user tramite sessioni oppure
2) inserire user e pass (come sessioni) e fare un controllo tramite db?

se nn hai i permessi, come lo caccio fuori? tramite "header location"?

grazie per le vs. risposte, manca questa parte finale, la + importante

**whisher** · 18-05-2007, 20:48

Ciao.
Dai un occhio a questa classetta se ti interessa
qui
nel blog con Db nella cartella admin/classes trovi una versione migliorata.

**TheMastion** · 18-05-2007, 22:14

Nella pagina nella quale verifichi user e pass memorizzi in variabili che ti mantieni via sessioni i valori passati nel form che usi per loggarti e poi in altre variabili che memorizzi sempre in sessioni memorizzi user e pass che estrai via DB e poi verifichi di conseguenza tra varie variabili che hai sempre via sessioni...

**lilo** · 18-05-2007, 22:56

Originariamente inviato da TheMastion
Nella pagina nella quale verifichi user e pass memorizzi in variabili che ti mantieni via sessioni i valori passati nel form che usi per loggarti e poi in altre variabili che memorizzi sempre in sessioni memorizzi user e pass che estrai via DB e poi verifichi di conseguenza tra varie variabili che hai sempre via sessioni...

attualmente ho solo la var. user come sessione.
tu come faresti il controllo su ogni pagina?

**lilo** · 18-05-2007, 23:13

Originariamente inviato da whisher
Ciao.
Dai un occhio a questa classetta se ti interessa
qui
nel blog con Db nella cartella admin/classes trovi una versione migliorata.

ciao whisher, nn ho ricevuto + risposta:
http://forum.html.it/forum/showthrea...readid=1104133
per cui ho abbandonato lo script che mi avevi consigliato

grazie cmq lo stesso

**whisher** · 19-05-2007, 14:17

Ciao.
Scusa per l'altro post ma mi deve essere scappato.
(a parte che il link non si riferisce a quello script ma ad una classe con esempi)
Ad ogni modo per accedere devi manualmente inserire nel DB
una cosa del genere:

Codice PHP:


INSERT INTO `users` VALUES (1, 'admin', '21232f297a57a5a743894a0e4a801fc3', 'admin@miosito.com', 'a74bd80fa5037558e301b2946fd4f5ba', '1', '1', '2007-01-07 18:43:08', '0');

Che puoi cambiare a tuo piacimento facendo un semplice
echo md5("quellochevuoi"); al posto di 21232f297a57a5a743894a0e4a801fc3.

Ho scaricato nuovamente lo script e funziona senza problemi.

**TheMastion** · 19-05-2007, 14:51

Per verificare in ogni pagina che l'utente sia loggato puoi includere nelle pagine che vuoi te una pagina del tipo auth.inc.php...

auth.inc.php

Codice PHP:


<?php

if (isset($_SESSION['logged']) && $_SESSION['logged'] == true) {

// Non fai nulla e quindi carica la pagina

} else {

header("Location: dovevuoitu.php");

die();

}

?>

Discussione: [php] sicurezza login

Strumenti discussione

Ricerca discussione

Visualizza

[php] sicurezza login

Permessi di invio