Форум → Разработка → Базы данных → Регистрация и авторизация. Как правильно?
Регистрация и авторизация. Как правильно?
-
http://forum.vingrad.ru/articles/topic-158301.html
http://pyha.ru/articles/php/auth/
http://habrahabr.ru/blogs/php/13726/
это на мой взгляд самые нормальные статьи по теме регистрации и авторизации.
раньше делал как на хабре, вчера увидел на пыхе статью и мне она понравилась больше, за исключением нескольких моментов.
Какая статья правильнее и надежнее?
например на хабре не используют соль, но в куки добавляют не шифрованный пароль, а шифрованный набор случайных чисел.
а на винграде вообще 2 таблицы используют, таблицу с юзерами и с сессиями.
Я так подумал и пришел к выводу что если это все соединить то получится вот что:
users
id
login
password
salt
hash
или что-то можно убрать не делая скрипт менее безопастным?
Так же интересно что лучше использовать куки или сессии? и почему?
И последнее, каким образом делать разграничение доступа? и создание групп админ, модератор, пользователь…
думаю должна быть таблица user_group
id
name - Название группы (админ, модер, пользователь)
read - если 1, то может просматривать страницу
edit - если 1, то может редактировать страницу
и т.д.
а как потом я не знаю… -
15 сентября 2009 г. 20:19, спустя 20 минут 30 секунд
Кто как хочет - тот так дрочит (с) Фольклор
Делай как сам думаеш … Я просто PHPSESSID и какбэ сессии, пасс попросту мд5 … также лучше не парить моск) Если человек получит хеш то при желании его сейчас дико легко брутить … CUDA (:
А соли, и алгоритмы разные … ток если алгоритм там типа
Чего именно такой ? Он не встречаеться часто, и взломщик не догадаеться как росшифровать … Т.е. смысл прятать пасс только алгоритмами уникальными ибо соль уже ниактуальна (:md5(base64_encode('pass'))
-
15 сентября 2009 г. 20:23, спустя 3 минуты 34 секунды
Главное сделать ресурс без дырок, дабы редиска не добрался до ваших хешей или кук клиентов. А какие там будут доп. навороты … второе дело … можно и позже прикрутить
"Куки или сессии" Это Вы о чём? Сравниваете стол и столб.
Права. Сперва стоит подумать какого рода разграничения Вам нужны, а потом уже таблицы строить.
-
15 сентября 2009 г. 20:24, спустя 1 минуту 15 секунд
++ умная мысля, не будет дыры - можно хоть открытые пассы) -
15 сентября 2009 г. 20:26, спустя 1 минуту 24 секунды
А будет дыра - мне Ваши соли - до одного места. -
15 сентября 2009 г. 20:26, спустя 55 секунд
"Куки или сессии" Это Вы о чём? Сравниваете стол и столб.
на хабре и винграде используются только куки, на пыхе и то и другое. Я об этом.Главное сделать ресурс без дырок
и какие там дыры могут быть? экранировать символы и т.д. и все? это фигня все, "по умолчанию" все делаю. Главной дырой считаю регу и авторизацию, ибо где то давно читал что куки могут легко с компа стырить -
15 сентября 2009 г. 20:33, спустя 6 минут 43 секунды
Хехе) Молодой человек ща вкратце :
SQL Injection, PHP Injection, SiXXS, XSS Active, XSS Passive, Local File Include, Remote File Include, buffer overflow …
Учитываем что все эти атаки могут выйти за грани строки запроса) т.е. и куки файлы, и логи ( ведь логи могут инклудиться (
) а какой-то паршивец отправит специально сформированый запрос ) … Так что не надейтесь) Учитываем что если хостинг а не сервер то могут через соседей взломать, а так же уязвимости в софте)include('log.txt');
Спустя 70 сек.Смотрите в корень - там есть истина (с) Тро
-
15 сентября 2009 г. 20:41, спустя 7 минут 40 секунд
т.е. можно использовать регистрацию со статьи на пыхе и без соли и жить спокойно? -
15 сентября 2009 г. 20:42, спустя 1 минуту 32 секунды
Посмотрел статью на хабре. Как по мне, то всё одно сессии рано или поздно появятся в проекте. Сразу с ними и делать. Нафиг возится с лишними куками.
Если Вы принимаете вариант отсутствия дыр, то тогда мне не понятны маниакальные идеи защиты паролей.
Если боитесь воровства кук, то стоит подумать над механизмом контроля "чистоты" кук. -
15 сентября 2009 г. 20:45, спустя 2 минуты 15 секунд
Имхо сессии решают ибо в них - йух влезет юзер) Куки можн юзать для "запомнить юзера" и то от безисходности) Алсо мд5 что с солью что без брутабилен - думай на алгоритмами чтоб делали длинее и чтоб пасс содержал и буквы и цифры и символы - идеально -
16 сентября 2009 г. 6:18, спустя 9 часов 33 минуты 28 секунд
Dr.TRO, любишь хакать?Сапожник без сапог -
-
16 сентября 2009 г. 11:30, спустя 3 часа 5 минут 10 секунд
Dr.TRO, любишь хакать?
эт по аватарке сразу понятно было. еще бы появляющийся номер icq -
16 сентября 2009 г. 19:46, спустя 8 часов 16 минут 7 секунд
тссс … школота любит аськи на нике) увы я не школьнег :(( А жаль :(( Троллил бы сам себя xD -
Пожалуйста, авторизуйтесь, чтобы написать комментарий!