va benissimo quella...io utilizzo quella ad esempio.
Poi, ti ho detto, dipende da che dati sensibili sono...io gestisco un gdr online...se qualcuno entra con la pass di unaltro non mi arrestano ne perdo grandi fortune in soldi o quantaltro...però è bene che non entrino^^
GdR Online - http://lenar.it/
Yesterday is history. Tomorrow is mystery.
Today is a gift. That's why it's called the present
Benissimo? E cosa risolvi criptando in php?Originariamente inviato da Vre
va benissimo quella...io utilizzo quella ad esempio.
Per non correre rischi di intercettazione password ci vuole SSL col protocollo https
E' complicato utilizzare questo sistema ?Originariamente inviato da luca200
Benissimo? E cosa risolvi criptando in php?
Per non correre rischi di intercettazione password ci vuole SSL col protocollo https
Dove posso trovare info, guide e/o articoli ?
beh ... tanto vale non scomodare server e sessioni e checkare sempre user e pass nel cookie temporaneo, lo trovo molto piu' sicuro, soprattutto in un ipotetico server virtuale ... poi GM docetOriginariamente inviato da luca200
Usa le sessioni.
Testi il login all'ingresso, imposti una variabile di sessione con il nome utente e poi in ogni pagina controlli che la variabile esista, altrimenti fai il redirect al login.
http://freephp.html.it/articoli/view_articolo.asp?id=97
giustissimo, se la paura e' di essere intercettati prima che PHP hasha qualcosa la pass e lo user hanno gia' viaggiato in chiaro dalla pagina al server ...Originariamente inviato da luca200
Benissimo? E cosa risolvi criptando in php?
al limite, senza usare SSL , comunque la soluzione piu' sicura, puoi hashare sia user che password in JavaScript prima di invare al server e cercare con una query tipo:Originariamente inviato da luca200
Per non correre rischi di intercettazione password ci vuole SSL col protocollo https
SELECT auth FROM logins WHERE MD5(usr) = '{$_POST['user']}' AND MD5(pwd) = '{$_POST['pass']}'
ovviamente la primariga di questa pagina dovra' verificare che $_POST['user'] e ['pass'] siano presenti e dovra' fare controlli tipo
if( preg_match("/^[a-f0-9]{32}$/", $_POST['user']) && preg_match("/^[a-f0-9]{32}$/", $_POST['pass'])) ... ok
se non passa questi primi 2 controlli e' gia' un tentativo ridicolo di passare senza dati utili ...
a login effettuato imposti i cookies con user e pass gia' hashate e ripeti i controlli detti qui sopra ( ovviamente sui cookie e non sul post che e' un filtro alla sola autenticazione ) per ogni pagina esistente all' interno del sito ...
tante idee veloci ma che potrebbero rendere sicuro l' accesso senza ricorrere ad SSL
Permessi di invio
Rispondi quotando