Ciao a tutti!
un dubbio...
il sistema più sicuro per costruire una area riservata, consiste nel verificare nome utente e password e memorizzarli su una sessione?
In tutte le pagine della "area riservata" verifico l'esistenza delle sezioni e faccio il confronto con nome utente e password memorizzati sul db?
Qualche consiglio?
E' uno dei metodi piu' sicuri.l sistema più sicuro per costruire una area riservata, consiste nel verificare nome utente e password e memorizzarli su una sessione?
Una volta autenticato l'utente è sufficiente verificare la sessione, è inutile eseguire nuovamente una query sul DB, tanto il risultato non cambia.In tutte le pagine della "area riservata" verifico l'esistenza delle sezioni e faccio il confronto con nome utente e password memorizzati sul db?
grazie per i suggerimenti!
Se al momento del login metti un uid nel Db eOriginariamente inviato da filippo.toso
E' uno dei metodi piu' sicuri.
Una volta autenticato l'utente è sufficiente verificare la sessione, è inutile eseguire nuovamente una query sul DB, tanto il risultato non cambia.
e con lo stesso valore inizializzi una variabile di sessione
la query la devi fare per forza.
Without faith, nothing is possible. With it, nothing is impossible
http://ilwebdifabio.it
A che cosa serve mettere un uid nel Db?Se al momento del login metti un uid nel Db e
e con lo stesso valore inizializzi una variabile di sessione
la query la devi fare per forza.
All'atto del login, dopo aver verificato i dati di autenticazione, e' sufficiente inserire in sessione un valore per indicare che l'utente e' autenticato (es. $_SESSION['is_logged'] = true) oppure inserire l'ID utente (es. $_SESSION['user_id'] = $row['user_id'] ) letto dal database durante la fase di verifica dei dati di autenticazione.
Nelle varie pagine è poi sufficiente inserire un codice tipo:
oppureCodice PHP:$_SESSION['user_id'] = isset($_SESSION['user_id']) ? $_SESSION['user_id'] : false;
if ($_SESSION['user_id'] === false) {
die('not logged'); // redirect to login form etc.
}
Codice PHP:$_SESSION['is_logged'] = isset($_SESSION['is_logged']) ? $_SESSION['is_logged'] : false;
if ($_SESSION['is_logged'] === false) {
die('not logged'); // redirect to login form etc.
}
Originariamente inviato da filippo.toso
A che cosa serve mettere un uid nel Db?
All'atto del login, dopo aver verificato i dati di autenticazione, e' sufficiente inserire in sessione un valore per indicare che l'utente e' autenticato (es. $_SESSION['is_logged'] = true) oppure inserire l'ID utente (es. $_SESSION['user_id'] = $row['user_id'] ) letto dal database durante la fase di verifica dei dati di autenticazione.
Nelle varie pagine è poi sufficiente inserire un codice tipo:
oppureCodice PHP:$_SESSION['user_id'] = isset($_SESSION['user_id']) ? $_SESSION['user_id'] : false;
if ($_SESSION['user_id'] === false) {
die('not logged'); // redirect to login form etc.
}
Codice PHP:$_SESSION['is_logged'] = isset($_SESSION['is_logged']) ? $_SESSION['is_logged'] : false;
if ($_SESSION['is_logged'] === false) {
die('not logged'); // redirect to login form etc.
}
Questione di gusti e paranoie ma preferisco mettere un uid nel Db.
Without faith, nothing is possible. With it, nothing is impossible
http://ilwebdifabio.it
Che cosa intendi per uid?Questione di gusti e paranoie ma preferisco mettere un uid nel Db.
Per quale motivo dovresti inserirne uno nel DB all'atto del login?
Per quale motivo non ritieni sicuro un metodo di autenticazione come quello descritto?
di sicuro il mettere in un file di sessione user e password e' una idea peregrina da scartare a pie' pari. Si tratta di un file leggibile da chiunque.... se vuoi con poche righe di script.Originariamente inviato da henry78
un dubbio...
il sistema più sicuro per costruire una area riservata, consiste nel verificare nome utente e password e memorizzarli su una sessione?
Il posto piu' sicuro per user/pwd (password hashata) e' dentro il db e di li' non dovrebbe mai uscire.
Il silenzio è spesso la cosa migliore. Pensa ... è gratis.
Ed infatti non mi sembra di averlo proposto.di sicuro il mettere in un file di sessione user e password e' una idea peregrina da scartare a pie' pari.
Solo se il web server è stato configurato senza alcuna conoscenza dei concetti base della sicurezza.Si tratta di un file leggibile da chiunque....
:master: :master:Originariamente inviato da filippo.toso
Ed infatti non mi sembra di averlo proposto.
diciamo allora che sei stato frainteso....
Originariamente inviato da henry78
l sistema più sicuro per costruire una area riservata, consiste nel verificare nome utente e password e memorizzarli su una sessione?Originariamente inviato da filippo.toso
E' uno dei metodi piu' sicuri.
Il silenzio è spesso la cosa migliore. Pensa ... è gratis.
Permessi di invio
Rispondi quotando