ancora non ho capito al 100% quale sia il metodo più sicuro per effettuare un sistema di login su un sito e-commerce.
una volta aperto il browser mi viene automaticamente assegnato un id di sessione che io posso mettere sul db insieme ai dati dell'utente una volta fatto il login.
poi ad ogni pagina faccio il confronto tra il db e l'id di sessione del browser, è giusto come sistema? a che serve passare l'id in get o con il cookie????
ciao, ti assegna l'id? non dici l'IP?? io ho usato un sistema con IP, funziona xfettamente...
sai quanto ci vuole a modificare l'ip con il quale un computer esce in rete si !?
Sai che mille utenti in una rete aziendale possono avere lo stesso indirizzo ip ?
sai che molte persone hanno indirizzi ip statici ?!
associare l'id di sessione...sicuramente è "sicuro"
bejelit , o per lo meno l'importante è che l ogeneri nel modo giusto..ovvero con certezza che sia univoco...fai i tuoi dovuti controlli su questo id e tutto dovrebbe essere sicuro !
fosse una rete aziendale non potrebbe, io lo uso spesso l'IP a dipendenza di cosa devo fare, ho fatto un web ke usa nell'admin l'ip e va benissimo..
è concettualmente errato usarlo ... se non sono in ufficio, ma da casa, e voglio impostare un parametro? e poi cammuffare l'ip non ci vuole molto ^^ mentre con un user e una password ... si è molto più sicuri[supersaibal]Originariamente inviato da progalba
fosse una rete aziendale non potrebbe, io lo uso spesso l'IP a dipendenza di cosa devo fare, ho fatto un web ke usa nell'admin l'ip e va benissimo.. [/supersaibal]
The fastest Redis alternative ... cachegrand! https://github.com/danielealbano/cachegrand
non mi son spiegato bene, user e pass si usano, se user e pass = true, in una tabella o la stessa joined=si e ci mette l'ip, poi nella pagine coperte si usa ip x verificare ke sia veramente lui, ma è una variabile
concordo perfettamente!!![supersaibal]Originariamente inviato da ellecubo
Sai che mille utenti in una rete aziendale possono avere lo stesso indirizzo ip ?
sai che molte persone hanno indirizzi ip statici ?!
[/supersaibal]
anzi io genero un id di sessione in questo modo:
$_SESSION["id"]= md5(uniqid(rand(), true))
più univoco di così..
questo è un risultato possibile "6a26b86159a8524e5aaa464ea2e071c0"
mi pare abb difficile da poter individuare,no??
poi mettendolo nel database lo confrontopag per pag..
visit the BEST italian fotolog http://www.ghiacciato.it/fotolog
"Solo due cose sono infinite, l'universo e la stupidità dell'essere umano.. ma sulla prima ho ancora delle riserve.." A.Einstein
esistono software, ESTREMAMENTE facili da reperire sul web, che ti permettono di cotruire richieste HTTP ... ma partendo dal frame ethernet dei pacchetti ... cosa vuol dire? siccome l'ip di provenienza è scritto li, costruendolo da zero, è anche possibile dire che indirizzo ip è presente e quindi è anche possibile truccare l'indirizzo ip[supersaibal]Originariamente inviato da progalba
non mi son spiegato bene, user e pass si usano, se user e pass = true, in una tabella o la stessa joined=si e ci mette l'ip, poi nella pagine coperte si usa ip x verificare ke sia veramente lui, ma è una variabile [/supersaibal]
inoltre gli ID di sessione non si usano solo per identificare ma anche per conservare informazioni durante la sessione ... in un carrello di e-commerce, di certo, non puoi salvare le informazioni dei prodotti acquistati in un carrello
The fastest Redis alternative ... cachegrand! https://github.com/danielealbano/cachegrand
ok scusate..
LOL non era mica un accusa, era solo un metterti in guardia ... poi continua a fare come ritieni meglio, mica sono qui col fucile[supersaibal]Originariamente inviato da progalba
ok scusate.. [/supersaibal]
The fastest Redis alternative ... cachegrand! https://github.com/danielealbano/cachegrand
Permessi di invio
Rispondi quotando