Efektivni prihlasovani – administrace

11. 11. 2008 12:27:33

Budu programovat svuj dalsi projekt a pro administraci bych chtel zvolit nejaky efektivni zpusob prihlaseni.

Efektivni - mam namysli neco, co pujde pres mySQL, ale samotny kod bude lehky na impletaci do vsech stranek pouzivanych v administraci.

Bud to udelam pres vyskakovaci prihlasovaci okno a nebo to udelam jako FORM.

Rad budu znat Vase reakce ;)

11. 11. 2008 12:27:33

https://webtrh.cz/diskuse/efektivni-prihlasovani-administrace#reply157656

mikey

(46 hodnocení)

11. 11. 2008 13:05:32

Moc ti nerozumím co na tom chceš efektivně řešit:o) Osobně bych udělal třídu uživatel. Přihlašovací stránku - jméno + heslo. Přihlásíš

//v prihlasit() ověříš správnost údajů v DB, vygeneruješ nějakej md5 hash, kterej uložíš do cookie a do DB. Přesmeruješ do administrace

if (!$uzivatel->prihlasit($jmeno, $heslo)) {

//vypises chybu

}

Pak už jenom kontroluješ

//v jePrihlasen() kontrolujes hash v cookie a hash v DB

if (!$uzivatel->jePrihlasen()) {

//presmerujes na prihlasovaci stranku

}

//admin stranka

11. 11. 2008 13:05:32

https://webtrh.cz/diskuse/efektivni-prihlasovani-administrace#reply157655

perry

(2 hodnocení)

11. 11. 2008 19:44:32

Mikey: No nevim, ale cookie bych na prihlasovani rozhodne nepouzival. Resil bych to pres SESSIONs. Cookie muzes nekomu dat (nebo hur ti ji nekdo ukradne) a pak se muze vydavat za tebe a jak to poznas ? Ulozenim IP to nevyresis, pokud je to v ramci jednoho napr. sdieleneho PC a Cookie bude platit i po zavreni prohlizece.

11. 11. 2008 19:44:32

https://webtrh.cz/diskuse/efektivni-prihlasovani-administrace#reply157654

miniJOHN

(57 hodnocení)

11. 11. 2008 19:59:20

Napsal perry;144633
Mikey: No nevim, ale cookie bych na prihlasovani rozhodne nepouzival. Resil bych to pres SESSIONs. Cookie muzes nekomu dat (nebo hur ti ji nekdo ukradne) a pak se muze vydavat za tebe a jak to poznas ? Ulozenim IP to nevyresis, pokud je to v ramci jednoho napr. sdieleneho PC a Cookie bude platit i po zavreni prohlizece.

Omlouvám se za OT, ale SESSIONs ti někdo může ukrást stejně lehce jako cookies.

11. 11. 2008 19:59:20

https://webtrh.cz/diskuse/efektivni-prihlasovani-administrace#reply157653

perry

(2 hodnocení)

11. 11. 2008 20:06:01

miniJOHN: Dobře, ukrást jde všechno... ale ty cookies jsou na kradeni o hodne jednodussi.

Ad. vecerapl: Rozhodne bych to udelal klasicky. Vyskakovací okna (ala CSFD) moc nemusím. Jinak moc není k pochopení, o co ti vlastne jde...

11. 11. 2008 20:06:01

https://webtrh.cz/diskuse/efektivni-prihlasovani-administrace#reply157652

Steeta

(3 hodnocení)

11. 11. 2008 20:06:05

ted se omlouvam za OT ja :) a jak by jsi resil prihlasovani? pri kazdem nacteni stranky dotazem do db?

11. 11. 2008 20:06:05

https://webtrh.cz/diskuse/efektivni-prihlasovani-administrace#reply157651

Peter Hrbáčik

(11 hodnocení)

11. 11. 2008 20:07:09

Napsal perry;144633
Mikey: No nevim, ale cookie bych na prihlasovani rozhodne nepouzival. Resil bych to pres SESSIONs. Cookie muzes nekomu dat (nebo hur ti ji nekdo ukradne) a pak se muze vydavat za tebe a jak to poznas ? Ulozenim IP to nevyresis, pokud je to v ramci jednoho napr. sdieleneho PC a Cookie bude platit i po zavreni prohlizece.

Sessions su v skutočnosti realizované prostredníctvom cookies alebo URL adresy. Pokial nechces v cookie drzat hash, tak si tam ukladaj iba ID uzivatela. Pri prihlaseni si do databaze uloz IP adresu, timestamp a status (ne/prihlaseny) a potom pomocou scriptu na kazdej stranke z admin sekcie kontroluj.

11. 11. 2008 20:07:09

https://webtrh.cz/diskuse/efektivni-prihlasovani-administrace#reply157650

miniJOHN

(57 hodnocení)

11. 11. 2008 20:20:22

Napsal perry;144661
miniJOHN: Dobře, ukrást jde všechno... ale ty cookies jsou na kradeni o hodne jednodussi.

Ad. vecerapl: Rozhodne bych to udelal klasicky. Vyskakovací okna (ala CSFD) moc nemusím. Jinak moc není k pochopení, o co ti vlastne jde...

Ne, podle mne je to uplně stejně, protože session ukládají svoje ID do cookies, takže vždy kradeš cookies i při session :)

Ale už doopravdy prosím konec OT, pokud vás to zajímá, tak new thread :)

11. 11. 2008 20:20:22

https://webtrh.cz/diskuse/efektivni-prihlasovani-administrace#reply157649

mikey

(46 hodnocení)

11. 11. 2008 20:57:16

Napsal Steeta;144662
ted se omlouvam za OT ja :) a jak by jsi resil prihlasovani? pri kazdem nacteni stranky dotazem do db?

Pokud je ten dotaz na mě... Tak ověřování přihlášení bych řešil při každým načítání stránky porovnáním hashe z cookie a z DB.

11. 11. 2008 20:57:16

https://webtrh.cz/diskuse/efektivni-prihlasovani-administrace#reply157648

mikey

(46 hodnocení)

11. 11. 2008 21:22:49

Napsal perry;144633
Mikey: No nevim, ale cookie bych na prihlasovani rozhodne nepouzival. Resil bych to pres SESSIONs. Cookie muzes nekomu dat (nebo hur ti ji nekdo ukradne) a pak se muze vydavat za tebe a jak to poznas ? Ulozenim IP to nevyresis, pokud je to v ramci jednoho napr. sdieleneho PC a Cookie bude platit i po zavreni prohlizece.

Tak pokud mi někdo ukradne hash z cookie, tak to nepoznám... Určitě se dá použít nějaký chytřejší bezpečnější řešení. Jak byste to udělali?

11. 11. 2008 21:22:49

https://webtrh.cz/diskuse/efektivni-prihlasovani-administrace#reply157647

(20 hodnocení)

12. 11. 2008 11:32:33

pouzivam sessions, nevidim duvod to nedelat, pokud jim das omezenou zivotnost, zaroven nemas na strankach zadne XSS nebo pod. a na počítači nemáš stovku různých virů a trojanů umožňujících pohodlný přístup do tvého počítače, tak ti žádné cookies nikdo krást nebude.... tohle skoro hraničí s paranoiou :D

12. 11. 2008 11:32:33

https://webtrh.cz/diskuse/efektivni-prihlasovani-administrace#reply157646

Pro odpověď se přihlašte.

Přihlásit