Login szrkipt fajták, durva megfogalmazásban
2011-06-23T12:12:07+02:00
2011-06-23T15:52:34+02:00
2022-07-19T05:12:10+02:00
  • "Login szrkipt fajták, durva megfogalmazásban"

    Például, van olyan login script, ami durva megfogalmazásban ezt mondja:
    cs... meg az a..., hát nem el... azt a k.... jelszót?
    Mutasd a teljes hozzászólást!
  • Nézd meg a session_set_save_handler() függvény leírását.

    Egyébként tényleg a társalgóban kellett volna a témát megnyitnod, mert nem konkrét programozási kérdést tettél fel és még csak nem is egy kérdést.
    Mutasd a teljes hozzászólást!
  • Sajátot még nem írtam, neten található jó pár megvalósítás. Alapja az, hogy a php-ban felül lehet definiálni, hogy mit használjon a session kezeléskor: session_set_save_handler() - itt megadható 1-1 függvény, ami meghívódik a különböző helyzetekben: open, close, read, write, destroy, gc (garbage collector - szemétgyűjtő, avagy itt lehet megadni, hogy mit történjen az elavult dolgokkal)

    Most a CodeIgniter-ben található session kezelést használnom, amiben a sima session-ből az adatbázis alapú session-re való áttérés annyi volt, hogy egy változót true-ra állítottam és létrehoztam egy táblát - a többi az ő dolga
    Mutasd a teljes hozzászólást!
  • értemmén
    és tudnál nekem pár szót szólni az adatbázis alapú sessionról?
    Mutasd a teljes hozzászólást!
  • Én csak próbáltam rávilágítani, hogy miket érdemes tisztázni. Mert például három nap múlva rád jön az ihlet és írsz egy session alapút, akkor ne kelljen mindenért másokat kérdezni, hogy "Ez biztonságos?" - legfeljebb ha kipipálod azokat a problémákat amiket ismersz, akkor pluszban megkérdezed, hogy hol lehetnek még problémák

    Ti mit használnátok?


    Én jobban szeretem a kényes adatokat a szerver oldalon tárolni, így inkább a php beépített session kezelését szoktam használni, vagy adatbázis alapú session-t.
    Mutasd a teljes hozzászólást!
  • Nos.. :D én nem mondtam, hogy én használom jelenleg a legtökéletesebb variációt.
    Szerinted miért is kérdeztem? :D

    Nem kritikát kérek a jelenlegi módszeremhez, hanem tanácsot hogy mit használjak.
    Ti mit használnátok?

    Az ellenörzés stb ez alap dolog, bebiztosítás, de ennek ellenére is vannak a rendszernek apróbb hibái ami magának arendszernek vannak, ezért nem nagyon lehet őket javítni, csak ha változtatok az egészen.
    Mutasd a teljes hozzászólást!
  • Jelenleg cookie-s módszerrel oldom meg, valahogy úgy, hogy


    Az, hogy ez mennyire biztonságos, ahhoz neked kell feltenned magadban pár olyan kérdést, ami úgy kezdődik, hogy "Mi van, ha...":

    - Mi van, ha valaki megszerzi egy bejelentkezett felhasználó cookie tartalmát és a kérésbe ezt küldi el: sikerül bejelentkeznie a felhasználó nevében, vagy kilépteti, vagy nem csinál semmit?
    - Mi van, ha történetesen ez a felhasználó az admin is - sikerül továbblépnie az admin felületre és ott tud kárt tenni?
    stb.

    Felmerülhet a "Hogyan" kérdés is: Hogyan szerezte meg az információt?

    Ez lehet sokféleképp: scriptet injektált a html-be és azzal (pl nem véded le az üzenőfalat), vagy haverjánál volt és tudta, hogy kell gyorsan megszerezni a cookie-t, vagy elkapta a http kérést és kiolvasta a megfelelő tartalmat, vagy ...

    Ezután jön, hogy miként lehet ezek ellen védekezni (htmlentities/bbkód/strip_tags stb, ip-useragent-stb ellenőrzés pluszban stb).

    a jelszót átalakítom md5-be és ha eggyezik a passowrd és a beírt jelszó értéke akkor készít egy cookie-t az md5 hashel és az id-vel


    Mi van, ha valakinek sikerül hozzáférnie az adatbázisodhoz (pl: SQL Injection) és azok alapján átírja a cookieban az id-t és jelszó hash-t? Vagy csak szimplán átírja a cookieban az id-t, akkor ellenőrzi, hogy az id és jelszó egyezik-e?
    Mutasd a teljes hozzászólást!
  • egy kisebb magyarázatot is mellékelhetnél :)

    szóval mit javasoltok, kérlek nekem válaszoljatok :)
    Mutasd a teljes hozzászólást!
  • ez a parancs kombinálja a két megoldást..

    Nade nem úgy van hogy a session nehezebb de biztonságosabb és a cookie veszélyes??

    Csak kérdés.
    Mutasd a teljes hozzászólást!
  • megfogja enni a php gc-je ami a session file-okat takarítja.
    Viszont egy saját, MySQL backend session store megoldással működik a dolog:)
    Mutasd a teljes hozzászólást!
  • sessionnal nehezebb megoldani tisztán hogy ne kelljen minden alkalommal belépnie.


    session_set_cookie_params()
    Mutasd a teljes hozzászólást!
  • Szerintem látszott a kérdésfeltételből, ez egy probléma!
    És nem a regisztrációt kérdeztem hanem login kezelést.
    Session, cookie de másrol nem nagyon hallottam még
    Jó persze a sima középiskolás if-s elágazás..

    Jelenleg cookie-s módszerrel oldom meg, valahogy úgy, hogy

    a bejelentkezésnél kiovlastatom az adatokat az adott felhasználónév alapján
    a jelszót átalakítom md5-be és ha eggyezik a passowrd és a beírt jelszó értéke akkor készít egy cookie-t az md5 hashel és az id-vel

    a kiolvasott array, pedig egy global lesz
    $JELENLEGI

    ezáltal mindent kitudok egyszerűen olvasni. $JELENLEGI["felhasznalonev"]
    és pont..

    De sesionnal ugyanezt már nem nagyon tudom elképzelni.

    tehát én még módszerekre lennék kíváncsi. Vagy van valami bevett módszer?
    Mutasd a teljes hozzászólást!
  • sessionnal nehezebb megoldani tisztán hogy ne kelljen minden alkalommal belépnie.

    Milyen más módszerekkel lehet még login rendszert felállítani, amihez az elvárások: Külső hozzáférés, biztonságos közösségi elérés.

    Sok weblapon beregisztrálnak több ezren, aztán utána soha többet nem néznek vissza. Így arra kell kitalálni valamit, hogy visszacsábítsd. Minél bonyolultabb a regisztráció, annál kevesebben fognak regisztrálni, és e-mailben aktiválni. Így érdemesebb később egy kiterjesztett profilt kitöltetni vele, hogyha az oldal bizonyos oldalait akarja használni. Így több látogatód lehet.

    A dizájnos kérdésed meg már pár éve elavult. Érdemesebb keresni, vagy írni egy sablonkezelő motort. És egy kérdés egy topik egy témába. Plusz ezt inkább egy társalgótémába kellett volna feltenned, ha konkrét problémád nincs.
    Mutasd a teljes hozzászólást!
  • Üdv mindenkinek :)

    Lenne egy kérdésem.

    Ugye ha egy login rendszert szeretnénk összedobni akkor létezik a cookie-s megoldás, ennek is több fajtája. Lásd tbdev stb.

    Illetve létezik a sessionos megoldás. Az utóbbi biztonságosabb.

    Vagy tévednék?



    Kérdésem: Milyen más módszerekkel lehet még login rendszert felállítani, amihez az elvárások: Külső hozzáférés, biztonságos közösségi elérés.



    A külső eléréshez annyit, hogy most hülye példa de a facebookon is ellehet küldőleg bizonyos információkat érni az adott felhasználórol ha engedélyezi azt..



    És az utolsó dolog, mivel lehet dinamikusabb és gyorsabb rendszert felépíteni? PHP vagy ASP?

    (Véleményem szerint -> PHP)

    De kíváncsi vagyok a ti véleményetekre is


    Másik dolog.
    Nekem az oldal felépítés úgy néz ki, hogy van egy base fájl
    legyen minden.php

    ebben van minden include sql lekérés stb.

    és ebben van pár funkció
    header();
    footer();

    így ha csinálok index.php-t akkor csak annyi, hogy
    include(minden.php);
    header("index");
    ide a tartalom az oldalnak stbstb
    footer();

    így megmarad könnyen a design és a többi.
    Jó eljárás ez? vagy Van jobb?

    Köszönöm a válaszokat előre is :)


    Üdv, Lalesz
    Mutasd a teljes hozzászólást!
Tetszett amit olvastál? Szeretnél a jövőben is értesülni a hasonló érdekességekről?
abcd