PHP i autologowanie -jak wykonać i czy to będzie bezpieczne?

Mam takie proste pytanie - jak zrobić autologowanie w php? Tzn tak jak to z reguły wygląda czyli checkbox “Zapamiętaj mnie”.

Chodzi mi o techniczne rozwiązanie problemu. Wiem że mogę np po prostu ustawić cookie i potem sprawdzac czy cookie istnieje a jak tak to dac ze zalogowano.

Natomiast nie mam pojęcia czy takie rozwiązanie ma cokolwiek wspólnego z bezpieczeństwem?

Jeśli nie to moze mi ktoś wytłumaczyć jak to zrobić poprawnie?

Nie chodzi mi nawet o jakiś konkretny kod moze być również słownie tylko sposób rozwiązania problemu, sama idea :slight_smile:

Pozdrawiam

No nie jest to za bardzo bezpieczne bo kuki można sfałszować i zalogować się za kogoś innego chyba że byś przechowywał w nim login i hasło w postaci sumy md5 i sprawdzał czy zgadza się z sumą w bazie danych…

PS: http://www.google.pl/search?hl=pl&clien … Szukaj&lr=

Możesz przechowywać login i hasło w cookie, tylko w przypadku hasła musisz je wielokrotnie przehashować. Dodatkowo watro zastosować tzw. sól. Ilość i rodzaj funkcji hashujących ustalasz sam, jak i ilość “soli”.

Takie coś może wyglądać tak:

$haselko=md5(sha1(md5('mojehaslo').'A$w@p)*h').'j*&^F54)&');

$cookievalue='mojlogin::'.$haselko;

setcookie('nazwa',$cookievalue,time()+(60*60*24*356));

Poźniej rozbijasz explode() wartość ciastka łącznikiem podwójnego dwukropka, i sprawdzasz czy dla danego loginu jest dobre hasełko.

Dzięki za odpowiedzi, pozdrawiam :slight_smile:

jeszcze jak ktoś uzasadni sens wielokrotnego haszowania…

Kafejka internetowa (lub jakikolwiek inny dzielony komputer). Hasło jeden raz hashowane może być wrzucone w program odczytujące hashe z tęczowych tablic. Co prawda jest sól, ale 2 - 3 razy przechashować nie zaszkodzi.

tylko pytanie, dlaczego md5 a nie sha-2 ?

a co ma piernik do wiatraka?

wielokrotne haszowanie, zwłaszcza wpierw sha, a potem md5 naprawdę mija się z celem. sól natomiast jest bardzo dobrym pomysłem i o ile nie zostanie ujawniona powinna wraz z pojedynczym haszowaniem zagwarantować wystarczające bezpieczeństwo.

bardzo fajnie rozwiązane autologowanie widziałem jakiś czas temu w źródłach kohanaphp może to będzie pewną inspiracją

Podałem szybki przykład, można inaczej hashować :wink:

Airborn w zasadzie sporo. Ale dzięki, rzucę okiem na KohanaPHP :slight_smile: