Visualizzazione dei risultati da 1 a 7 su 7

Discussione: [php] sicurezza login

  1. #1
    Utente di HTML.it
    Registrato dal
    Feb 2001
    Messaggi
    1,471

    [php] sicurezza login

    Ho appena finito di realizzare una mia piccola area riservata, con queste caratteristiche:
    - multiutente
    - user e pass vengono registrati in un db (pass tramite md5)
    - all'interno delle pagine dell'area riservata, viene passato il campo "user" tramite sessione

    Dal punto di vista della sicurezza, affidabilità, prestazioni - in ogni pagina è meglio:
    1) controllare user tramite sessioni oppure
    2) inserire user e pass (come sessioni) e fare un controllo tramite db?

    se nn hai i permessi, come lo caccio fuori? tramite "header location"?

    grazie per le vs. risposte, manca questa parte finale, la + importante


  2. #2
    Ciao.
    Dai un occhio a questa classetta se ti interessa
    qui
    nel blog con Db nella cartella admin/classes trovi una versione migliorata.

    Without faith, nothing is possible. With it, nothing is impossible
    http://ilwebdifabio.it

  3. #3
    Nella pagina nella quale verifichi user e pass memorizzi in variabili che ti mantieni via sessioni i valori passati nel form che usi per loggarti e poi in altre variabili che memorizzi sempre in sessioni memorizzi user e pass che estrai via DB e poi verifichi di conseguenza tra varie variabili che hai sempre via sessioni...


  4. #4
    Utente di HTML.it
    Registrato dal
    Feb 2001
    Messaggi
    1,471
    Originariamente inviato da TheMastion
    Nella pagina nella quale verifichi user e pass memorizzi in variabili che ti mantieni via sessioni i valori passati nel form che usi per loggarti e poi in altre variabili che memorizzi sempre in sessioni memorizzi user e pass che estrai via DB e poi verifichi di conseguenza tra varie variabili che hai sempre via sessioni...
    attualmente ho solo la var. user come sessione.
    tu come faresti il controllo su ogni pagina?

  5. #5
    Utente di HTML.it
    Registrato dal
    Feb 2001
    Messaggi
    1,471
    Originariamente inviato da whisher
    Ciao.
    Dai un occhio a questa classetta se ti interessa
    qui
    nel blog con Db nella cartella admin/classes trovi una versione migliorata.

    ciao whisher, nn ho ricevuto + risposta:
    http://forum.html.it/forum/showthrea...readid=1104133
    per cui ho abbandonato lo script che mi avevi consigliato

    grazie cmq lo stesso

  6. #6
    Ciao.
    Scusa per l'altro post ma mi deve essere scappato.
    (a parte che il link non si riferisce a quello script ma ad una classe con esempi)
    Ad ogni modo per accedere devi manualmente inserire nel DB
    una cosa del genere:
    Codice PHP:
    INSERT INTO `usersVALUES (1'admin''21232f297a57a5a743894a0e4a801fc3''admin@miosito.com''a74bd80fa5037558e301b2946fd4f5ba''1''1''2007-01-07 18:43:08''0'); 
    Che puoi cambiare a tuo piacimento facendo un semplice
    echo md5("quellochevuoi"); al posto di 21232f297a57a5a743894a0e4a801fc3.

    Ho scaricato nuovamente lo script e funziona senza problemi.


    Without faith, nothing is possible. With it, nothing is impossible
    http://ilwebdifabio.it

  7. #7
    Per verificare in ogni pagina che l'utente sia loggato puoi includere nelle pagine che vuoi te una pagina del tipo auth.inc.php...

    auth.inc.php
    Codice PHP:
    <?php
    if (isset($_SESSION['logged']) && $_SESSION['logged'] == true) {
    // Non fai nulla e quindi carica la pagina
    } else {
    header("Location: dovevuoitu.php");
    die();
    }
    ?>

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  
Powered by vBulletin® Version 4.2.1
Copyright © 2025 vBulletin Solutions, Inc. All rights reserved.