Ho creato un login per un utente che fa in modo che se user e password sono corretti viene inizializzata una sessione con una variabile 'accepted' uguale a "yes".
Su tutte le pagine private ho inserito un codice che controlla se la variabile di sessione é uguale a "yes", altrimenti rimanda l' utente al login.
Ma penso che questo sistema non é molto sicuro.
Come posso rendere il sistema , sempre con le sessioni , più sicuro senza controllare ogni volta nome utente e password ?
Come creare e pubblicare ebook : Creare ebook
potresti salvarti l'IP d'entrata , così da portare nelle pagine private:
l'IP
l'accepted
poi... il SID
per qualche consiglio in piu' ti rimando alla guida
Guida Di Sicurezza di PHP dai capitoli 14 al 20
intendi dire :
1) Al momento del login creo una sessione in cui salvo l' accepted e l' IP
2) Per verificare se l' utente é registrato , uso "session_start()" e poi controllo IP e accepted
3)Cambio frequentemente il SID mentre l' utente naviga fra le pagine private
Ma così chiunque puo creare un cookie per validare la sessione, o no ?
Come creare e pubblicare ebook : Creare ebook
up
Come creare e pubblicare ebook : Creare ebook
up
Come creare e pubblicare ebook : Creare ebook
Non basterebbe criptare i dati inseriti nel cookie con md5? Chiunque potrebbe farsi il cookie, ma sarebbe impossibile crearne uno valido o rintracciarne il contenutoOriginariamente inviato da GiovanniP
intendi dire :
1) Al momento del login creo una sessione in cui salvo l' accepted e l' IP
2) Per verificare se l' utente é registrato , uso "session_start()" e poi controllo IP e accepted
3)Cambio frequentemente il SID mentre l' utente naviga fra le pagine private
Ma così chiunque puo creare un cookie per validare la sessione, o no ?
se cripto con md5 i dati salvati nel cookie come faccio a controllarli dopo?
MD5 é unidirezionale.
Come creare e pubblicare ebook : Creare ebook
up
Come creare e pubblicare ebook : Creare ebook
scusate se mi intrometto! vorrei ricordare che per l'md5 ci sono software che ti decriptano i dati in un batter d'occhio! esempio? cain & able! provare per credere! quindi attenzione!!
secondo me faresti bene a farlo sul SID...
up
Come creare e pubblicare ebook : Creare ebook
Permessi di invio
Rispondi quotando