Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757
Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770
Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737 Форумы портала PHP.SU :: Авторизауия и проверка авторизации..
Покинул форум
Сообщений всего: 169
Дата рег-ции: Янв. 2009
Помог: 0 раз(а)
Всем доброе время суток...
Вот пытаюсь сделать небольшой сайт и столкнулся с такой проблемой, а именно авторизации пользователей.
Кто как проверяет авторизованный пользователь или нет?
Вот что получилось у меня.
Это код формы авторизации:
это код для проверки авторизованный пользователь или нет для закрытых частей сайт т.е. для тех страниц куда можно войти авторизированным ( в случае если не авторизован отправляет на другую страницу) :
Покинул форум
Сообщений всего: 1539
Дата рег-ции: Март 2010 Откуда: Киров
Помог: 6 раз(а)
magistr пишет:
а можно пример или алгоритм? ( а желательно то и то)
...
Что некто не знает?
Знают, просто коротко это об этом не рассказать, да еще и с примерами. Тем более в инетах есть статьи. Если у кого появится время, обязательно расскажут. Не поднимайте тему неинформативными сообщениями.
Вам сказали, что нужно использовать сессии, туда и копайте.
magistr
Отправлено: 19 Сентября, 2010 - 15:57:26
Частый гость
Покинул форум
Сообщений всего: 169
Дата рег-ции: Янв. 2009
Помог: 0 раз(а)
я по читал статьи...и там дже есть примеры на аторизации на печеньках...
Но суть ошибки мне подсказали...в том что нельзя передавать пароль в них...
а лучше генировать ключ во время авторизации.
AdMeen
Отправлено: 19 Сентября, 2010 - 18:19:59
Посетитель
Покинул форум
Сообщений всего: 370
Дата рег-ции: Сент. 2009 Откуда: Воронеж
Помог: 1 раз(а)
magistr пишет:
я по читал статьи...и там дже есть примеры на аторизации на печеньках...
Но суть ошибки мне подсказали...в том что нельзя передавать пароль в них...
а лучше генировать ключ во время авторизации.
Как бы сохраняя пароль в кукисах, вы даете возможность злоумышленнику выкрасть эти самые куки и простой их подменой авторизироваться на сайте
magistr
Отправлено: 19 Сентября, 2010 - 20:41:28
Частый гость
Покинул форум
Сообщений всего: 169
Дата рег-ции: Янв. 2009
Помог: 0 раз(а)
А как будто индификатор сессия нельзя подменить?
И такой еще возник вопрос- как вы относитесь к дополнительной привязки к ip?
Покинул форум
Сообщений всего: 1539
Дата рег-ции: Март 2010 Откуда: Киров
Помог: 6 раз(а)
magistr пишет:
А как будто индификатор сессия нельзя подменить?
Что значит подменить? Подобрать его практически невозможно. Можно выкрасть. Но это уже безопаснее, чем хранить в куках логин и пароль, т.к. идентификатор для каждой сессии назначается каждый раз разный, а логин и пароль - одни и те же. А для гарантированной защиты делается (вы правильно начали мыслить) дополнительная привязка к ip и юзер-агенту. Тогда с другого компьютера пользователь не сможет воспользоваться вашим идентификатором.
Сейчас вгляделся в ваш код. По сути, при каждом обращении к сайту, у вас пользователь авторизуется снова и снова, каждый раз отправляя в куках логин и пароль.
magistr
Отправлено: 20 Сентября, 2010 - 18:00:59
Частый гость
Покинул форум
Сообщений всего: 169
Дата рег-ции: Янв. 2009
Все гости форума могут просматривать этот раздел. Только зарегистрированные пользователи могут создавать новые темы в этом разделе. Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.