autenticazione senza db

[mensana3]

Ciao a tutti, qualcuno mi sa indicare uno script che permetta di gestire un area riservata ma che non necessiti di db ?(quindi utilizzi solo un file txt suppongo).
La mia idea era proprio una procedura completa tipo: l'utente si registra invia il form, gi viene risposto alla sua mail usr e pwd che si inseriranno in una lista di utenti (appunto sul file txt ) che poi la procedura si va a controllare quando un utente entra. scusate la spiegazione un po maccheronica ma chiaramente sono ancora all' A B (alla C ci devo ancora arrivare)
Grazie

[}gu|do[z]{®©]

sarebbe meglio usare il database, è molto più sicuro... e performante anche

comunque.... il principio è quello che ogni volta scrivi nel fil username e password (possibilmente in md5) di un utente (uno per riga, separati da un carattere tipo -) .. in fase di login ti leggi una ad una tutte le righe finchè o non trovi l'utente o non finisce il file...

se trovi l'utente verifichi che le pwd corrispondano...


ripeto: io te lo sconsiglio ^^

[bubu77]

se gli utenti sono pochi non ci sono problemi, se sono molti ti sconsiglio anche io questo sistema

sicuramente il file deve essere fuori dalla webroot oppure protetto con htaccess
ciao

[mensana3]

si immagino che non sia il massimo, va anche detto che questo mio cliente vuol dare ai suoi clienti (diciamo al massimo 50-60) il servizio di poter leggere informazioni inerenti i suoi prodotti non proprio segrete ma magari ostiche da scoprire sul web tipo manualetti o cose del genere. pensavo per semplificare il tutto di far assegnare direttamente a lui usr e pwd una volta ricevuta la richiesta di registrazione, e caricarle nel file txt tramite un form . non credo sia un problema di prestazioni data l'esiguità dei dati (50-60 utenti) ma cosa intendi per "non sicuro"?

[mensana3]

Fuori dalla Webroot vuol dire non nella directory principale del sito? quindi basta metterlo in una cartella per avere maggior sicurezza tipo pippo/file.txt? perchè ho dato un occhiata ad htaccess e mi sembra un po piu complicato di creare una cartella. Scherzo, intendo dire c'è già un maggior grado di sicurezza?

[menphisx]

Perchè non usare un db "on file" ?

[}gu|do[z]{®©]

Originariamente inviato da mensana3
Fuori dalla Webroot vuol dire non nella directory principale del sito? quindi basta metterlo in una cartella per avere maggior sicurezza tipo pippo/file.txt? perchè ho dato un occhiata ad htaccess e mi sembra un po piu complicato di creare una cartella. Scherzo, intendo dire c'è già un maggior grado di sicurezza?

no, vuol dire in una directory esterna a quelle accessibili da web (o se non ne disponi, in una protetta tramite htaccess

A parte questo, c'è anche il rischio che il file venga "distrutto" da accessi concorrenti.. quantomeno dovresti implemmentarti da solo un servizio di locking

a questo aggiungici che non è performante...


e hai i tre motivi principali per cui sono nati i database :P

Quantomeno, come dice menphisx, prova sqllite

[mensana3]

Ok ok mi avete convinto, ho detto una scempiaggine, tanto più nelle mie condizioni :rollo: .
Stabilito che è piu opportuno utilizzare un db, tornando alla domanda iniziale sapreste indicarmi uno scrpt che mi serva da traccia e/o da scuola per una procedura del genere? che ricordo dovrebbe gestire in autonomia la registrazione del cliente , l'assegnazione di nome utente e password la spedizione allo stesso tramite mail di usr e pwd , e poi chiaramente l'accesso protetto a determinate pagine

[mensana3]

Originariamente inviato da }gu|do[z]{®©
no, vuol dire in una directory esterna a quelle accessibili da web (o se non ne disponi, in una protetta tramite htaccess

Potrei anche far finta di aver capito e non beccarmi i tuoi insulti, ma in realtà continuo a non capire "una directory esterna a quelle accessibili da web cos'è? dov'è?

e poi una domandina diciamo "legislativa". Io dispongo di un mio spazio web con tanto di database, posso usare una tabelle del mio db per mettere gli utenti abilitati ad accedere al sito del mio cliente visto che lo spazio occupato e le risorse richieste sono veramente minime , o rischio di vedermi arrivare in casa i carabinieri con a braccetto il mio provider?

[}gu|do[z]{®©]

Originariamente inviato da mensana3
Potrei anche far finta di aver capito e non beccarmi i tuoi insulti, ma in realtà continuo a non capire "una directory esterna a quelle accessibili da web cos'è? dov'è?

dunque.. immagino che tu abbia installato apache sul tuo computer, no? Per vedere le pagine (tramite apache) scrivi http://localhost/qualcosa.php giusto?
il file qualcosa.php dove sta?
Di solito su windows sta in C:\Programmi\Apache Group\Apache2\htdocs
bene.. vuol dire che la root del server è quella directory.. e che se qualcosa.php non sta in quella directory o in una sua sottodirectory, non è accessibile da web...
però un file php che sta in quella directory può leggere un file che sta in un'altra directory.
Tutto qui. Php può accedere a file fuori dallo spazio web con un indirizzo "locale" di sistema.. ma nessuno può accederci da remoto, tramite web.

Chiaramente per poter mettere il file fuori dalla directory web devi avere un server che te lo consente (o accesso completo al server, o almeno un server che ti da accesso alla directory appena sopra quella visibile da web, chiamata spesso non a caso "public html").

Se non hai questo tipo d'accesso al server (se insomma quando ti colleghi via ftp ti da direttamente la directory root, e su quella padre non hai permessi di scrittura) puoi, tramite un file htaccess (che è una sorta di file di configurazione di apache), indicare ad apache una directory del tuo spazio web su cui negare l'accesso da remoto.
Se cerchi bene nel forum trovi come fare.

e poi una domandina diciamo "legislativa". Io dispongo di un mio spazio web con tanto di database, posso usare una tabelle del mio db per mettere gli utenti abilitati ad accedere al sito del mio cliente visto che lo spazio occupato e le risorse richieste sono veramente minime , o rischio di vedermi arrivare in casa i carabinieri con a braccetto il mio provider?

Onestamente no so quale sarebbe la norma in merito, ma penso che se il tuo cliente non protesta non c'è problema


Quanto allo script.. boh.. io in genere mi faccio sempre ste cose da solo..
Probabilmente in giro trovi qualche script, ma sarebbe meglio sbatterti un po' per avere piena coscienza di come funziona... non sia mai che per un bug di un altro poi qualcuno riesce a bypassare l'autenticazione ^_^
Altrimenti se usi qualche framework immagino ci sia tutto il necessario.