Sesja+autologowanie --- ocena wykonania


(Maryo) #1

witajcie, na stronie mam logowanie i chcę dodać funkcję autologowania z zapamiętywaniem. co uważacie o takim pomysle:

System zapisu 2 kodowanych nie powtarzalnych ciasteczek.

Ciasteczka do działania potrzbują nowej tabeli w SQL nazwałem ją user_temp, zawiera w sobie UID, cookie1 (losowy parametr nie powtarzalny), cookie2 (losowy nie powtarzalny parametr).

Osoba logująca się Tworzy 2 różne od siebie ciasteczka które są zapamietywane wraz z id do tabliczy.

Po wyłączeniu przeglądarki (skasowani sesji) i ponownym włączeniu przeglądarki wpisujemy dowolny adres podstrone ...,

wywoływana jest funkcja chk_member_cookies() która sprawdza warunki. Jesli nie ma ustawionego zadnego parametru sesji i istnieją ciasteczka to w tedy sprawdza czy nasze ciasteczka 1 i 2 istnieją w tablicy, jeśli tak tworzy sesje dla użytkownika o numerdze UID przy ktorym cookie1 i cookie 2 są równe.

Do tego dochodzi jeszcze funkcja rengeneracji sesji ... co przeładowanie w miejscach gdzie wystepuje wywołąnie funkcji chk_member_login() i jej spełnienu parametry sesji zostają odświeżone zostają ustawione nowe cookis i id sesji co zapobiega w dużym stopniu przed podkradaniem cookis i sessji .

Ponadto kodowanie hasła w md5.


(Elektrrrus) #2

Podstawowy błąd. Użyj conajniej sha1 i tzw. SALT.

Poczytaj troche o bezpieczeństwie md5.

Pomysł niezły, choć troche nakombinowany.