salve, sto realizzando un sito con le caratteristiche che sto per elencare... Le domande sono tante, spero a poco a poco di riuscire a trovare aiuto e risposte...
allora.... il sito ha un pannello di controllo protetto da .htaccess che consente ad un admin di creare delle utenze. dopo alcuni controlli (controlla se il nome esiste già nel database e poi se esiste già un file con quel nome) crea una cartella con il nome utente al cui interno mette un altro .htaccess ed una .htpasswd (con la password inserita e criptata).
Per creare i due file nelle cartelle utenti (a dire il vero creeerà anche una pagina con il riepilogo del profilo utente) legge la parte invariabile dell'htaccess da un file che sta nella cartella principale e che per capirci chiamo qui htaccess.txt e .htpasswd lo crea con la coppia nomeutente/pass che l'admin inserisce.
ho una prima domanda: quanto è sicuro un sistema così strutturato?
cambia qualcosa se invece che farlo leggere da file di testo (o altra estensione) lo faccio leggere direttamente dal database? quale conviene di più?
esiste un metodo per fare logout tramite link dalla pagina del profilo personale?
purtroppo sono un (perenne) esordiente e non so se me la caverei con altri sistemi di protezione tipo le sessioni (salvo aiuti divini)
continuando con la descrizione del progetto, la password pensavo di non salvarla nel database (per risparmiare un po'...) ma volevo dare comunque la possibilità all'utente di cambiarla con una di suo gusto (con controllo javascript che accetta parole che abbiano numeri e lettere). Come posso fare per far accettare la nuova pass solo se si inserisce anche la password vecchia? Avrei pensato ad una variabile temporanea all'ingresso dell'utente (non l'ho ancora implementato ma ho visto uno script che "allaccia" il .htaccess ad una casella di login sulla pagina principale)
immagino di dover dare altre spiegazioni per cose poco chiare che magari ho scritto...
Rispondi quotando
