Пользователь переходит на страницу логина -> вводит данные, я проверяю, есть ли они в базе -> если нашел, беру куку (рандомная строка из бд) и сохраняю в браузер.
На каждой странице сайта сверяю ключ пользователя, есть ли он в базе.
Не использую session от php, просто кука. Насколько правильный такой вариант вообще, и с точки зрения безопасности?
upd: вопрос по сути, ответы тоже прошу по сути, пожалуйста.
Spartak (Web-StyleStudio), сессии не удобна тем, что удаляется после закрытия, а куки указал и забыл навсегда. Если много пользователей, будет много сессий на сервере
yischyk, Так это 2 разных механизма, вы их зачем-то перемешали... Сессия тем и удобна, что существует пока не закрыт браузер (в теории оба механизма можно настроить так и этак, но смысл?). Если хотите чтобы был "вечный" логин - сделайте галочку "запомнить меня" и реализуйте свою куку, а при открытии уже проверяйте ее наличие и тогда автоматически логиньте. Я бы не очень обрадовался если бы по открытию какого-то ресурса я автоматически был бы на нем залогинен... мало ли кто к компу подойдет, это должен быть осознанный выбор пользователя, а не принудительный механизм.
рандомная не очень правильно, если и воспользоваться простым мд5 хешем, то надо хотя бы так, чтобы другой не воспользовался ключем md5(ip + login + password + salt)
ThunderCat, по открытию ресурса вы не логинитесь. Логинитесь только после того, как сознательно заполнили форму. И кнопка выход тоже на самом видно месте, так что не думаю, что проблема в этом.
Не хотелось просто зассорять дизайн чекбосами, но мб, это будет правильным решением, спасибо, подумаю.
edward_freedom, +, тем более хочется какого-то более стандартного решения. Чтобы меня время сессии, вроде надо лезть в php.ini, что меня прям напрягает. Можно организовать по стандарту, но не идти меня системные файлы
отличная логика.
также в процессе используется HTML. добавим до кучи в теги и его?
возможно, знатоки Перла, Паскаля и Си-шарпа тоже знают, как работать с куками. Жалко что нельзя добавить больше 5 тегов, правда?
Безопасность такого механизма зависит от того, что такое "рандомная сгенерированная строка". Если это обычная тупая функция, которую пишут все ламеры, то безопасность никакая.
edward_freedom, только вот это адище, которое ломается за 5 секунд, не надо советовать
FanatPHP, не стоит зассорать обсуждение бессмысленными сообщениями. Не нравятся теги - предлагайте правки. Я полагал, что большинство js-разработчиков работают с куками и часть разбирается в безопасности, я мог ошибаться, прошу прощения
Ровно такая-же как и при использовании сессий, за исключением механизма генерации "рандомной" строки, которая достаточно хорошо реализована в механизме сессий, а в вашем случае о нем вообще ничего не известно. При равном уровне исполнения сессия выигрывает только удобством пользования, но вы тоже можете обернуть свой костылик в какую-то оболочку и воткнуть в базовый контроллер, получив доступ к похожему механизму. Собственно в большинстве популярных фреймворков есть стандартные реализации сессии не через сессии пхп.
Spartak (Web-StyleStudio), проблема не в скорости вычисления, а в методе получения строки для хэша. Так как у edward_freedom она состоит из констант, то подбор строки может быть достаточно просто реверсирован и подделан. Как минимум 1 ключ в строке должен быть рандомным, с хорошей рандомизацией, а не просто разбросом в 3 цифры.
" salt от php" а это что теперь такое?
почему все время какие-то бессвязные заявления, то какой-то "salt от рнр", то "рандомная строка из базы", то какой-то crypt(), который к случайным строкам вообще никакого отношения?
вы можете написать КОД, который используете для получения своей "рандомной строки"?
Spartak (Web-StyleStudio), а причем тут взламываемость??? Мы же не пароль хешируем. Нам просто нужна хорошо стандартизированная рандомная строка. Тут мд5 вполне норм.
А вот этого мы утверждать не можем, пока не увидим механизм/код создания вот этого
Вообще никак не связано. ТС вообще ничего не говорил про мд5, про мд5 завел разговор edward_freedom, и при этом мысль его была где-то рядом с правильной, но реализация на троечку с минусом, хотя скорее всего навеяна была именно созданием хешей пароля в древних реализациях авторизаций на пхп. В данном случае строка для генерации хеша как раз должна сдержать минимальное количество информации из пользовательских данных (а желательно не иметь их в составе вовсе).
ThunderCat, можете ответить на простой вопрос, зачем "хорошо стандартизируемой (это тоже непонятно, что значит, но опустим) строке" нужен md5? вы с bin2hex() не путаете?
Я это к чему. Мало того что рандомной строке мд5 нужен как рыбке зонтик, но ведь оно наводит на подозрения о том ужасе, который выше написал edward_freedom, и который к рандомности вообще никакого отношения не имеет.
FanatPHP, во первых длина, которая может быть сгенерирована разной для изначальной строки,но быть одинаковой для финальной строки - удобно выделять в бд определенную длину поля под хранение, ну и шестнадцатиричное представление строки легко и просто переносится в разные форматы данных, не требуя совместимости кодировок и тп, при этом имеющее хороший показатель коллизий. Короче - легко хранить, пофиг на длину изначальной строки(в отличие от bin2hex()) и просто в реализации.
FanatPHP, согласен, но в этом случае необходимо обеспечить его уникальность для каждого юзера (а не просто "рандомная строка" ). В идентификаторе сессии на php это уже реализовано
Spartak (Web-StyleStudio), я думаю, не стоит так упарываться в сессии. Учитывая, что на любом мало-мальски серьезном проекте механизм все равно надо переписывать, как минимум в части хранения данных, то сессия все равно, по сути распадается на две составляющих - кука на клиенте и некое хранилище на сервере. Ну и никто не мешает использовать эту куку в качестве идентификатора, а уж хранить данные юзера где угодно, используя этот это же идентификатор.
В конце концов сейчас можно использовать JWT, который вообще хранить все на клиенте
edward_freedom, если уж усираться, вырывая слова из контекста, то зачем здесь md5 вообще? $dbUser["id"] уже уникальный.
Наверное, стоит прочитать фразу целиком, где уникальность - это только часть условия? а вторая часть - это рандомность, с которой у вашего говнокода вообще никак.
И если уж пускать дерьмо на вентилятор, md5-то как раз уникальности не обеспечивает.
edward_freedom, молодец, торопливо дописал rand :)
а теперь надо впервые в жизни открыть страничку этой функции в мануале, и прочитать предупреждение, которое там написано
