Логин и Пароль, где хранить? - PHP

spirit-ua · 14.07.2015, 08:50

Всем Привет!

После успешной авторизации на сайте пользователю раздаются определенные права на доступ к разделам сайта и права (пользователь, модератор и т.д.), так вот вопрос: где хранить эти данные (логин, пароль, права)?

1. Сессия? Возможно ли подделать сессию? Я понимаю что данные сессии хранятся на стороне сервера но есть ли риск?
2. В переменной и каждый раз при загрузке какой либо странички дергать БД и проверять тот же логин и права? Возможно ли подделать значение переменной?
3. Иной вариант (куки не канают)

Не интересуют все тонкости безопасности и километровые манулы, просто на пальцах расскажите как реализована данная задача на сайтах

ADSoft · 14.07.2015, 08:54

после успешной авторизации зачем такскать логин пароль с собой? просто идентификатор пользователя и флаг успешной авторизации.. .все права по идентификатору можно вытянуть.. но если хотите какие то параметры вместе с идентификатором можно таскать ....

Используйте сессию и будет вам счастье

Stilet · 14.07.2015, 09:03

Цитата:

Сессия? Возможно ли подделать сессию?

Конечно можно. Но бессмысленно, ибо она временная, и если юзеройд будет нормально выходить с сайта, то подделка сессийного ключа становится манкибизнесом.

Цитата:

В переменной и каждый раз при загрузке какой либо странички дергать БД и проверять тот же логин и права?

Вот как раз для этого есть сессийные ключи.

Цитата:

Возможно ли подделать значение переменной?

Это из области киберпанка уже

можно подделать все, но зачем?

Так что ADSoft прав - сессия все (большинство) случаи решает.

14.07.2015, 08:50	#1
spirit-ua Форумчанин Регистрация: 04.06.2009 Сообщений: 351	Логин и Пароль, где хранить? Всем Привет! После успешной авторизации на сайте пользователю раздаются определенные права на доступ к разделам сайта и права (пользователь, модератор и т.д.), так вот вопрос: где хранить эти данные (логин, пароль, права)? 1. Сессия? Возможно ли подделать сессию? Я понимаю что данные сессии хранятся на стороне сервера но есть ли риск? 2. В переменной и каждый раз при загрузке какой либо странички дергать БД и проверять тот же логин и права? Возможно ли подделать значение переменной? 3. Иной вариант (куки не канают) Не интересуют все тонкости безопасности и километровые манулы, просто на пальцах расскажите как реализована данная задача на сайтах Мне разрешено открывать только одну страницу - about :blank. Сперва было скучно, но потом я втянулся. Теперь у меня там живет 2 виртуальных друга, и я слышу голоса из розетки!

14.07.2015, 08:54	#2
ADSoft Старожил Регистрация: 25.02.2007 Сообщений: 4,158	после успешной авторизации зачем такскать логин пароль с собой? просто идентификатор пользователя и флаг успешной авторизации.. .все права по идентификатору можно вытянуть.. но если хотите какие то параметры вместе с идентификатором можно таскать .... Используйте сессию и будет вам счастье Сайты, приложения, автоматизация в широком смысле слова

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
логин и пароль	CD_SVEN	БД в Delphi	1	21.05.2014 04:17
Пароль Логин	Mystery_Planet	C# (си шарп)	2	08.05.2011 14:35
Логин и пароль	serega112000	Помощь студентам	3	03.02.2010 16:22
логин и пароль	All517	Работа с сетью в Delphi	3	15.01.2009 15:46