cookies e sessioni

[ojalà]

Ciao!
mi sono letta http://asp.html.it/articoli/leggi/67...es-e-sessioni/ questo articolo sull'uso di cookies e sessioni.
IOra io devo fare un modulo di login. ho cercato diversi esempi in rete e alcuni usano sia cookies che variabili di sessione.
La mi domanda è: x il modulo di login/logout posso usare solo le sessioni senza i cookies?

[filippo.toso]

Si

[mtx_maurizio]

Se devo fare un'autenticazione la via più semplice è questa:

una volta verificato il login assegno un valore ad una variabile di sessione. Poi nella pagine controllo che questa variabile esista e che il valore corrisponde alle mie aspettative, in caso contrario ti mando alla pagina del login.

Se desideri avere anche l'opzione "ricordami" sarà necessario impostare anche un cookie, ma in quel caso bisogna tenere conto di qulche piccolo accorgimento di sicurezza.

[ojalà]

Grazie!io infatti ho usato la variabile di sessione come hai indicato te..x i cookies che tipo di accorgimento di sicurezza intendi?Tanto x avere una visione più chiara nel caso debba usarli in futuro..

[mtx_maurizio]

Visto che il cookie è un file di testo, bisogna fare attenzione. Il cookie lo imposti per sapere di che utente si tratta. Ora non bisogna cadere nell'errore di impostare come valore il nome utente. In questo caso mi basterebbe modificare il valore del cookie con il nome di un altro utente e potrei accedere indebitamente come altro utente.

Io faccio così. Quando devo impostare il cookie, come valore scrivo nomeutente::assword_criptata_md5.

Al momento di verificare la pagina succede questo.

Verifico se è impostata la sessione, se sì tutto ok. Se no:

Verifico se c'é un cookie (se no ti mando al login)

Se c'è explodo il valore su :::

Verifico se esiste un utente con quel nome e se la sua password è quella

Se sì imposto la sessione.