beh ... tanto vale non scomodare server e sessioni e checkare sempre user e pass nel cookie temporaneo, lo trovo molto piu' sicuro, soprattutto in un ipotetico server virtuale ... poi GM docetOriginariamente inviato da luca200
Usa le sessioni.
Testi il login all'ingresso, imposti una variabile di sessione con il nome utente e poi in ogni pagina controlli che la variabile esista, altrimenti fai il redirect al login.
http://freephp.html.it/articoli/view_articolo.asp?id=97
giustissimo, se la paura e' di essere intercettati prima che PHP hasha qualcosa la pass e lo user hanno gia' viaggiato in chiaro dalla pagina al server ...Originariamente inviato da luca200
Benissimo? E cosa risolvi criptando in php?
al limite, senza usare SSL , comunque la soluzione piu' sicura, puoi hashare sia user che password in JavaScript prima di invare al server e cercare con una query tipo:Originariamente inviato da luca200
Per non correre rischi di intercettazione password ci vuole SSL col protocollo https
SELECT auth FROM logins WHERE MD5(usr) = '{$_POST['user']}' AND MD5(pwd) = '{$_POST['pass']}'
ovviamente la primariga di questa pagina dovra' verificare che $_POST['user'] e ['pass'] siano presenti e dovra' fare controlli tipo
if( preg_match("/^[a-f0-9]{32}$/", $_POST['user']) && preg_match("/^[a-f0-9]{32}$/", $_POST['pass'])) ... ok
se non passa questi primi 2 controlli e' gia' un tentativo ridicolo di passare senza dati utili ...
a login effettuato imposti i cookies con user e pass gia' hashate e ripeti i controlli detti qui sopra ( ovviamente sui cookie e non sul post che e' un filtro alla sola autenticazione ) per ogni pagina esistente all' interno del sito ...
tante idee veloci ma che potrebbero rendere sicuro l' accesso senza ricorrere ad SSL
Rispondi quotando