Protezione Sito

[LuigiNasto]

Ciao a tutti,

devo sviluppare un sistema di protezione per le pagine web di un sito. L'area riservata del sito ha vari utenti a cui permette l'accesso. Ogni utente ha un username e una password e questi dati sono assegnati dal webmaster, quindi non sono gli utenti a doversi registrare. Ecco le mie domande:

1) I dati degli utenti è più sicuro conservarli in un database o in un file di testo magari applicando l'md5 alle password?

2) Qual è il metodo più sicuro? Usare le sessioni?

3) Se uso le sessioni, l'id è più sicuro farlo salvare in un cookie o metterlo nell'URL?

Scusatemi se sono stato un po' vago. Si tratta di un sito di consultazione per tutti i miei colleghi di università e quindi deve essere quanto più semplice possibile e soprattutto non deve dare troppo problemi con i browsers anche un po' più vecchi o i computer dell'università che magari hanno firewall e restrizioni varie ( ecco la mie perplessità per i cookie...).

Grazie mille per l'aiuto!

Luigi

[Andrea1979]

database sarebbe più sicuro, e più maneggevole. Il file di testo è ok, se proprio non hai a disposizione un database. Sarebbe meglio comunque mettere il file di testo fuori dal percorso accessibile da internet/intranet nel server.

Metodo più sicuro? Mah, io farei con le sessioni e buona notte. Trovi diverso materiale a proposito della gestione utenti nella sezione php del sito.

Ciao

[mxa]

In teoria è più sicuro se l'id di sessione lo metti in un cookie, ma non sempre è possibile, quindi dovresti gestire entrambe le situazioni!