Прочитал на днях статьюПриемы безопасного программирования на PHP, оч полезная инфа для меня оказалась.
Пишу свой двиган уж пол года, и ни как не мог понять как лучше всего написать авторизацию, видел много вариантов, и сесии использовали люди и "печеньки", но так же находил статьи на ХАК-сайтах как это всё обходилось кралось и проще говоря взламывалось.
Первое что меня порадовало это :
Цитата:
Пользователь при каждом запросе, помимо другой информации (сообщение в чате, или список сообщений в гостевой книге), отправляет серверу свой uid. При этом в документе с формами ввода будет присутствовать, наряду с другими формами, тег вида:
<input type=hidden name=uid value=1234567890>
<input type=hidden name=uid value=1234567890>
, ведь даже если злоумышленник посмотрит иходный сгенерированный текст в браузере, то он увидит число которое подобрать нельзя, потомучто оно с каждым новым заходом на сайт, меняеца!!!
Минусы статьи тоже есть!!!
Я обычно при авторизации использую "escape_string", так как одного