Форумы портала PHP.SU :: Версия для печати :: Какой самый надежный способ аутентификации ?

1. armancho7777777 - 17 Апреля, 2011 - 19:33:09 - перейти к сообщению

Здравствуйте все!
Вопрос к экспертом и магистрам)
Подскажите пожалуйста, какой самый надёжный способ аутентификации ?
Достаточто ли надёжна аутентификация с помощью сеансов?

2. EuGen - 17 Апреля, 2011 - 19:52:15 - перейти к сообщению

"Самый надежный" - понятие относительное.
Если безопасность нужна из ряда вон, используйте стандартный механизм сессий с привязкой, скажем, по IP и с соединением по подтвержденному SSL-сертификату.

3. armancho7777777 - 17 Апреля, 2011 - 19:59:08 - перейти к сообщению

А с привязкой по IP ? Он же должен быть статистичесий обязательно?

4. EuGen - 17 Апреля, 2011 - 20:01:48 - перейти к сообщению

При первом посещении привязку делайте к тому IP, с которого сделан запрос (то есть это усложнит всякие XSS и им подобные)
И время жизни сессии задавайте. Скажем, 10 минут. И делайте logout, если пользователь ничего не делал в течении этого времени.

5. armancho7777777 - 17 Апреля, 2011 - 20:10:37 - перейти к сообщению

Спасибо большое! И ещё очень важный вопрос для меня. На счёт SSL-сертификатов.
Я хочу воспользоваться им, но вот не знаю как. Мне надо изучить хорошо эту технологию, или достаточно на хостинге заказать его, и они всё сделают?

6. EuGen - 17 Апреля, 2011 - 20:13:05 - перейти к сообщению

Изучить я бы рекомендовал в любом случае. По поводу сертификатов - думаю, можете обратиться к хостеру, наверняка они предоставляют такую услугу, или же можете заказать его сами.

7. armancho7777777 - 17 Апреля, 2011 - 20:17:53 - перейти к сообщению

Да, хостеры предоставляют эту услугу. А не посоветуете какое либо пособие, где это всё доходчиво разъясняется?

8. EuGen - 17 Апреля, 2011 - 20:21:47 - перейти к сообщению

Брифинг
http://ssl[dot]ru/ru/info/whats_the_ssl/
Статья
http://ru[dot]wikipedia[dot]org/wiki/SSL

9. armancho7777777 - 17 Апреля, 2011 - 20:23:02 - перейти к сообщению

EuGen, спасибо Вам большое!)

10. armancho7777777 - 17 Апреля, 2011 - 22:45:34 - перейти к сообщению

EuGen

EuGen, посмотрите пожалуйста этот код. Что скажете?

PHP:
скопировать код в буфер обмена

<?
if (isset($_POST['auth_name'])) {
  $name=mysql_real_escape_string($_POST['auth_name']);
  $pass=mysql_real_escape_string($_POST['auth_pass']);
  
  $query = "SELECT * FROM `admin_pass` WHERE `username`='".$name."' AND `password`='".$pass."'";
  
  $res = mysql_query($query) or trigger_error(mysql_error().$query);
  if ($row = mysql_fetch_assoc($res)) {
    session_start();
    $_SESSION['user_id'] = $row['id'];
    $_SESSION['ip'] = $_SERVER['REMOTE_ADDR'];
  }
  header("Location: http://".$_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI']);
  exit;
}
if (isset($_GET['action']) AND $_GET['action']=="logout") {
  session_start();
  session_destroy();
  header("Location: http://".$_SERVER['HTTP_HOST']."/");
  exit;
}
if (isset($_REQUEST[session_name()])) session_start();
if (isset($_SESSION['user_id']) AND $_SESSION['ip'] == $_SERVER['REMOTE_ADDR']) return;
else {
?>
<form method="POST">
<input type="text" name="auth_name"><br><br>
 
<input type="password" name="auth_pass"><br><br>
 
<input type="submit"><br>
</form>
<? 
}
exit;