авторизация на сайте ...

[Streletz]

Цитата:

Сообщение от s88s

а вот ниже строчка $_SESSION['login'] = md5(session_id()); это для чего просто не очень понял (((

С помощью этой строчки

Цитата:

Сообщение от s88s

логин вносится в сессию

Как-то так.

[s88s]

Прошу прощения ... но я немного не понимаю как правильно сделать ((

Короче у меня есть форма входа сделал ее так

Код:

<?php
session_start();

include("подключение к базе данных");

if(isset($_POST['login']) && isset($_POST['password']){

$sql = "SELECT `id` FROM `login` WHERE `login`='".$login."' AND `password`='".$password."'";
$query = mysql_query($sql);

if(mysql_num_rows($query) == 0)	{
$error = "Пользователь с указанными данными не зарегистрирован";
echo $error;
}

if($error == false){
$_SESSION['login'] = $login;
$_SESSION['password'] = $password;
}
}
if(isset($_SESSION['login']) && isset($_SESSION['password'])){

echo "Добро пожаловать " . $_SESSION['login'] . "<br />";
echo "<a href='./exit.php'>Выход</a>";

}
else echo "
<form action='' method='POST'>
<label for='login'>Ваш логин :</label>
<br />
<input type='text' name='login' id='login' />
<br />
<label for='password'>Ваш пароль :</label>
<br />
<input type='password' name='password' id='password' />
<br />
<input type='checkbox' name='checkbox_login' /> Запомнить меня
<br />
<input type='image' src='/img/enter_1.png' name='enter_OK' id='enter_OK' />
</form>";

И вот как к этому прикрутить запоминалку на вход через checkbox ...

сделал следующее что у меня заработало это к коду добавил

Код:

<?php
session_start();

include("подключение к базе данных");

/* Проверка на куки начало */
if(isset($_COOKIE['login']) && isset($_COOKIE['password'])){

$_POST['login'] = $_COOKIE['login'];
$_POST['password'] = $_COOKIE['password'];

}
/* Проверка на куки конец */

if(isset($_POST['login']) && isset($_POST['password']){

$sql = "SELECT `id` FROM `login` WHERE `login`='".$login."' AND `password`='".$password."'";
$query = mysql_query($sql);

if(mysql_num_rows($query) == 0)	{
$error = "Пользователь с указанными данными не зарегистрирован";
echo $error;
}

/* Для создания куки начало */
if(isset($_POST['checkbox_login'])){
setcookie("login", $login, time()+3600);
setcookie("password", $_POST['password'], time()+3600); 
}
/* Для создания куки конец */

if($error == false){
$_SESSION['login'] = $login;
$_SESSION['password'] = $password;
}
}
if(isset($_SESSION['login']) && isset($_SESSION['password'])){

echo "Добро пожаловать " . $_SESSION['login'] . "<br />";
echo "<a href='./exit.php'>Выход</a>";

}
else echo "
<form action='' method='POST'>
<label for='login'>Ваш логин :</label>
<br />
<input type='text' name='login' id='login' />
<br />
<label for='password'>Ваш пароль :</label>
<br />
<input type='password' name='password' id='password' />
<br />
<input type='checkbox' name='checkbox_login' /> Запомнить меня
<br />
<input type='image' src='/img/enter_1.png' name='enter_OK' id='enter_OK' />
</form>";

Но в этом варианте о безопасности только можно мечтать так как пароль в куках легко читаем

Этот пример с куками единственное что я смог соорудить работоспособным к сожалению ...

[ADSoft]

да что ж вы.. вас как кутенка не раз носом и в примеры? и в документацию тыкали
.... нe не храните пароль в открытом виде... записывайте хеш пароля md5(+salt)
соответственно сравнивайте потом тоже хеш из базы чтоб = тому что в куках.

[Streletz]

Цитата:

Сообщение от ADSoft

.... нe не храните пароль в открытом виде... записывайте хеш пароля md5(+salt)
соответственно сравнивайте потом тоже хеш из базы чтоб = тому что в куках.

К сожалению, не сильно отличается от хранения пароля в открытом виде. Ну не прочитают сам пароль, так украдут куку.
Как вариант, вместо данных авторизации можно попробовать использовать токен (ИМХО).

[s88s]

Цитата:

Сообщение от ADSoft

да что ж вы.. вас как кутенка не раз носом и в примеры? и в документацию тыкали
.... нe не храните пароль в открытом виде... записывайте хеш пароля md5(+salt)
соответственно сравнивайте потом тоже хеш из базы чтоб = тому что в куках.

Я понимаю что Вы не*****ся профессионал (прошу прощения за грубость) но если смотрел примеры вот не понять и все тут ...

Цитата:

Сообщение от Streletz

К сожалению, не сильно отличается от хранения пароля в открытом виде. Ну не прочитают сам пароль, так украдут куку.
Как вариант, вместо данных авторизации можно попробовать использовать токен (ИМХО).

Спасибо за статью ... я так понимаю для проверки куки нужно писать так же отдельную проверку как и на простую авторизацию ... Все верно ?
По крайней мере там было сделано две проверки =)

[Streletz]

Цитата:

Сообщение от s88s

я так понимаю для проверки куки нужно писать так же отдельную проверку как и на простую авторизацию ... Все верно ?

Нет. Идея в том чтобы уйти от этого

Цитата:

Сообщение от s88s

PHP код:

if(isset($_COOKIE['login']) && isset($_COOKIE['password'])) 


Как вариант, использование токенов. Вот один из простейших вариантов. В этом примере есть как генерация токена, так и его проверка.

[s88s]

Цитата:

Сообщение от Streletz

Нет. Идея в том чтобы уйти от этого
Как вариант, использование токенов. Вот один из простейших вариантов. В этом примере есть как генерация токена, так и его проверка.

А если допустим вытянут эти куки то зайти под логином человека смогут же ?

[Streletz]

Цитата:

Сообщение от s88s

А если допустим вытянут эти куки то зайти под логином человека смогут же ?

Это зависит от того, как генерируется токен.

[s88s]

я тут смотрел все про куки и зешел на сайт habrahabr ( это не реклама сайта ) и там прочитал статью в которой говорится как можно обезопасить куки от воровства и алгоритм мне понравился буду пробывать реализовать .
Потом отпишусь получилось или нет

[Streletz]

Цитата:

Сообщение от s88s

алгоритм мне понравился буду пробывать реализовать .
Потом отпишусь получилось или нет

Успехов!