Originariamente inviato da Corvus
dopo 30 tentativi sbagliati non si potrà più provare ad entrare perché bypasserà la verifica e darà sempre il risultato di user o password non corretti, almeno che non si chiude il browser e poi lo si riapre ecc..
Un po' inutile visto che gli attacchi a forza bruta solitamente non mantengono le sessioni.

Originariamente inviato da Corvus
Una volta che il controllo dei dati di login corrispondono genera un record in una tebella separata da quella che contiene i dati per l'accesso all'area riservata e vi memorizza:

- l'id di sessione
- L'username
- Il valore non criptato della password che ha autogenerato lo script (valida solo per la sessione)
- l'ivello dell'amministratore e il suo id record della tabella per il login
- Data inizio login in valore intero tramite time()

Poi genero le variabili di sessione con user, password (valida solo per la sessione) e altre cose secondarie, che servono per navigare liberamente nell'area riservata dato che una volta fatto il login ad ogni pagina dovranno corrispondere all'interrogazione del database:
- id di sessione che si utilizza
- user e valore criptato della password memorizzata nella sessione.
A che scopo fare tutta questa fatica? Che giovamento pensi di ottenere?

Originariamente inviato da Corvus
Inoltre tutto avviene nella stessa pagina form e controllo dei dati senza nessun redirectory; in caso di refresh che può rigenerare l'accesso ho messo un campo nascosto che si prende i valorimicrotime che poi verranno memorizzati in un campo della tabella login, e se questi sono uguali o inferiori bypassa il controllo e da esito negativo.
Idem come sopra.

Originariamente inviato da Corvus
Il tallone di achille di questo sistema è che se si riescie ad intercettare la sessione si potrebbe accedere nell'area riservata con gli stessi permessi finché lasessione è valida.
Se quello è il problema, ti basta salvare in sessione l'IP dell'utente, il suo user agent ed eventuali altri dati che si presume non cambino nell'arco della sessione e verificarli ad ogni richiesta di accesso "privilegiato".

In ogni caso, tutto il lavoro che "hai aggiunto" al tipico sistema di login, ha ben poca utilità ai fini pratici e di sicurezza.