Logica Login

**lorenzos** · 09-02-2006, 08:50

Ciao a tutti. Ritorno con le mie domande logiche... Ho letto l'articolo sul login di freephp, io devo realizzare un sito con registrazione e creare tre livelli (0 -> non confermato; 1 -> lettore 2 -> scrittore, uno sceglie cosa essere e nel link di conferma passo vie GET sc=1 o sc=2...

Ora, l'articolo sembra (e forse sbaglio) che si complichi parecchio la vita. Io farei:

- LOGIN
- PRENDO USER E PW CON UNA QUERY,
- LI CONFRONTO;
- SE CORRETTI SCRIVO UNA SESSIONE

- CONFRONTO SESSIONE IN OGNI PAGINA

In questo modo non uso i cookie e quando si chiude il browser il log-out è automatico...

E' così sbagliato?
La sicurezza c'è?

**TNTmarco** · 09-02-2006, 10:39

Le sessioni vengono salvate come cookie nel browser dell'utente, cookie che vengono cancellati quando lui chiude il browser

Per quanto riguarda la sicurezza... Quando fai il login filtra bene i dati inseriti dall'utente mi raccomando

**lorenzos** · 09-02-2006, 14:15

Per quanto riguarda la sicurezza... Quando fai il login filtra bene i dati inseriti dall'utente mi raccomando

In che modo?

**lorenzos** · 09-02-2006, 18:58

Up!

**lorenzos** · 10-02-2006, 01:09

Altro piccolo up...

**TNTmarco** · 10-02-2006, 03:05

Impossibile spiegarti in che modo credimi perchè le cose da cui devi "teoricamente" difenderti possono essere veramente tantissime... addirittura legate alla fantasia dell'eventuale hacker...

Figurati che ci sono libri e libri sani dedicati solo a rendere sicuro un sito e un login pure...

Ti posso anticipare solo che in primo luogo, come minimo devi filtrare tag html e altri caratteri strani.. Fai una ricerca su google, possibilmente in inglese, ti uscirà di tutto..

**lorenzos** · 10-02-2006, 10:19

Ok, lo immagino.
Ma la mia prima paura, ora, non è il problema sicurezza, ma il sapere se un login fatto solo con le sessioni, quindi senza memorizzare in database se l'utente è online o no è fattibile o è fastidioso per l'utente dover effettuare sempre il login...

**lorenzos** · 10-02-2006, 13:37

Altro timido up...

**bDaniele** · 10-02-2006, 14:30

credo che le due cose sono collegate, guarda le guide sulle sessioni e sui cookie forse ti aiutano a capire meglio.

**francylosvitato** · 10-02-2006, 18:44

Originariamente inviato da lorenzos
Ok, lo immagino.
Ma la mia prima paura, ora, non è il problema sicurezza, ma il sapere se un login fatto solo con le sessioni, quindi senza memorizzare in database se l'utente è online o no è fattibile o è fastidioso per l'utente dover effettuare sempre il login...

Comunque facendo un login con le sessioni hai la certezza che finchè la sessione esiste l utente non dovrà effettuare di nuovo il login; al momento che chiuderà il browser o che tu distruggerai la session dovrà poi effettuare di nuovo il login...

Discussione: Logica Login

Strumenti discussione

Ricerca discussione

Visualizza

Logica Login

Permessi di invio