ФорумРазработкаБазы данных → Регистрация и авторизация. Как правильно?

Регистрация и авторизация. Как правильно?

  • bugsb

    Сообщения: 13 Репутация: N Группа: Кто попало

    Spritz 15 сентября 2009 г. 19:59

    http://forum.vingrad.ru/articles/topic-158301.html
    http://pyha.ru/articles/php/auth/
    http://habrahabr.ru/blogs/php/13726/

    это на мой взгляд самые нормальные статьи по теме регистрации и авторизации.

    раньше делал как на хабре, вчера увидел на пыхе статью и мне она понравилась больше, за исключением нескольких моментов.

    Какая статья правильнее и надежнее?

    например на хабре не используют соль, но в куки добавляют не шифрованный пароль, а шифрованный набор случайных чисел.
    а на винграде вообще 2 таблицы используют, таблицу с юзерами и с сессиями.

    Я так подумал и пришел к выводу что если это все соединить то получится вот что:

    users
    id
    login
    password
    salt
    hash

    или что-то можно убрать не делая скрипт менее безопастным?

    Так же интересно что лучше использовать куки или сессии? и почему?
    И последнее, каким образом делать разграничение доступа? и создание групп админ, модератор, пользователь…

    думаю должна быть таблица user_group
    id
    name - Название группы (админ, модер, пользователь)
    read - если 1, то может просматривать страницу
    edit - если 1, то может редактировать страницу
    и т.д.

    а как потом я не знаю…
  • Dr.TRO

    Сообщения: 254 Репутация: N Группа: Адекваты

    Spritz 15 сентября 2009 г. 20:19, спустя 20 минут 30 секунд

    Кто как хочет - тот так дрочит (с) Фольклор
    Делай как сам думаеш … Я просто PHPSESSID и какбэ сессии, пасс попросту мд5 … также лучше не парить моск) Если человек получит хеш то при желании его сейчас дико легко брутить … CUDA (:

    А соли, и алгоритмы разные … ток если алгоритм там типа
    md5(base64_encode('pass'))
    Чего именно такой ? Он не встречаеться часто, и взломщик не догадаеться как росшифровать … Т.е. смысл прятать пасс только алгоритмами уникальными ибо соль уже ниактуальна (:
  • AndryG

    Сообщения: 237 Репутация: N Группа: Адекваты

    Spritz 15 сентября 2009 г. 20:23, спустя 3 минуты 34 секунды

    Главное сделать ресурс без дырок, дабы редиска не добрался до ваших хешей или кук клиентов. А какие там будут доп. навороты … второе дело … можно и позже прикрутить

    "Куки или сессии" Это Вы о чём? Сравниваете стол и столб.

    Права. Сперва стоит подумать какого рода разграничения Вам нужны, а потом уже таблицы строить.
  • Dr.TRO

    Сообщения: 254 Репутация: N Группа: Адекваты

    Spritz 15 сентября 2009 г. 20:24, спустя 1 минуту 15 секунд

    ++ умная мысля, не будет дыры - можно хоть открытые пассы)
  • AndryG

    Сообщения: 237 Репутация: N Группа: Адекваты

    Spritz 15 сентября 2009 г. 20:26, спустя 1 минуту 24 секунды

    А будет дыра - мне Ваши соли - до одного места.
  • bugsb

    Сообщения: 13 Репутация: N Группа: Кто попало

    Spritz 15 сентября 2009 г. 20:26, спустя 55 секунд

    "Куки или сессии" Это Вы о чём? Сравниваете стол и столб.

    на хабре и винграде используются только куки, на пыхе и то и другое. Я об этом.

    Главное сделать ресурс без дырок

    и какие там дыры могут быть? экранировать символы и т.д. и все? это фигня все, "по умолчанию" все делаю. Главной дырой считаю регу и авторизацию, ибо где то давно читал что куки могут легко с компа стырить
  • Dr.TRO

    Сообщения: 254 Репутация: N Группа: Адекваты

    Spritz 15 сентября 2009 г. 20:33, спустя 6 минут 43 секунды

    Хехе) Молодой человек ща вкратце :
    SQL Injection, PHP Injection, SiXXS, XSS Active, XSS Passive, Local File Include, Remote File Include, buffer overflow …

    Учитываем что все эти атаки могут выйти за грани строки запроса) т.е. и куки файлы, и логи ( ведь логи могут инклудиться (
    include('log.txt');
    ) а какой-то паршивец отправит специально сформированый запрос ) … Так что не надейтесь) Учитываем что если хостинг а не сервер то могут через соседей взломать, а так же уязвимости в софте)
    Спустя 70 сек.
    Смотрите в корень - там есть истина (с) Тро
  • bugsb

    Сообщения: 13 Репутация: N Группа: Кто попало

    Spritz 15 сентября 2009 г. 20:41, спустя 7 минут 40 секунд

    т.е. можно использовать регистрацию со статьи на пыхе и без соли и жить спокойно?
  • AndryG

    Сообщения: 237 Репутация: N Группа: Адекваты

    Spritz 15 сентября 2009 г. 20:42, спустя 1 минуту 32 секунды

    Посмотрел статью на хабре. Как по мне, то всё одно сессии рано или поздно появятся в проекте. Сразу с ними и делать. Нафиг возится с лишними куками.
    Если Вы принимаете вариант отсутствия дыр, то тогда мне не понятны маниакальные идеи защиты паролей.
    Если боитесь воровства кук, то стоит подумать над механизмом контроля "чистоты" кук.
  • Dr.TRO

    Сообщения: 254 Репутация: N Группа: Адекваты

    Spritz 15 сентября 2009 г. 20:45, спустя 2 минуты 15 секунд

    Имхо сессии решают ибо в них - йух влезет юзер) Куки можн юзать для "запомнить юзера" и то от безисходности) Алсо мд5 что с солью что без брутабилен - думай на алгоритмами чтоб делали длинее и чтоб пасс содержал и буквы и цифры и символы - идеально
  • phpdude

    Сообщения: 26646 Репутация: N Группа: в ухо

    Spritz 16 сентября 2009 г. 6:18, спустя 9 часов 33 минуты 28 секунд

    Dr.TRO, любишь хакать?
    Сапожник без сапог
  • Dr.TRO

    Сообщения: 254 Репутация: N Группа: Адекваты

    Spritz 16 сентября 2009 г. 8:25, спустя 2 часа 6 минут 29 секунд

    тссссссссс .. я простой смертный (:
  • genoc1de

    Сообщения: 60 Репутация: N Группа: Кто попало

    Spritz 16 сентября 2009 г. 11:30, спустя 3 часа 5 минут 10 секунд


    Dr.TRO, любишь хакать?

    эт по аватарке сразу понятно было. еще бы появляющийся номер icq
  • Dr.TRO

    Сообщения: 254 Репутация: N Группа: Адекваты

    Spritz 16 сентября 2009 г. 19:46, спустя 8 часов 16 минут 7 секунд

    тссс … школота любит аськи на нике) увы я не школьнег :(( А жаль :(( Троллил бы сам себя xD
  • Mr.Pihto

    Сообщения: 1386 Репутация: N Группа: Адекваты

    Spritz 17 сентября 2009 г. 1:19, спустя 5 часов 33 минуты 17 секунд

    пиздец

Пожалуйста, авторизуйтесь, чтобы написать комментарий!