COOKIES: Что лучше кидать в value?

Question

[thehighhomie]

При создании кук для авторизации, в уроках вижу все время что в значения кидают пароль пользователя. Что если пароль одинаковый окажется двух трех пользователей? Как лучше создавать куки?

PS: Обычно я ставлю такие куки - setcookie( 'user', 'password' , 'time');

Comments

[VZVZ]

Куки сниффятся (и вообще отлеживаются) элементарно. HTTP-сниффер вообще не слышали? Так скачайте Fiddler и посмотрите в нем свои куки. И чужие тоже. А еще в некоторых браузерах (не буду говорить каких) куки можно видеть.
Так что никаких паролей в них не должно быть.
В куках должен быть токен - уникальный "пароль", которы рандомно генерируется на стороне сервака, сохраняется там где-то, проверяется при любых запросах (открыл вкладку в браузере и т.д.) и удаляется при выходе (logout)

[thehighhomie]

VZVZ: как это примерно реализовать можно? сможете помочь? может пример какой, что на практике можно использовать?

[VZVZ]

thehighhomie: лично у меня под рукой нет примера. Как реализовать - думайте. Ничего сложного.

[thehighhomie]

VZVZ: ну а где на практике обычно хранят уникальный пароль и что это вообще такое?

[thehighhomie]

VZVZ: и как его еще можно реализовать?

[thehighhomie]

VZVZ: ну на словах можете подробнее описать?

[VZVZ]

thehighhomie: на клиенте (при авторизации) токен должен сохраниться в куках, на сервере - неважно куда, но удобнее в БД, ведь токен будет не один, а много, т.к. может быть много юзеров сразу авторизовано, и все надо хранить, не забывая, какой токен от какого юзера.

> на словах можете подробнее описать?
Могу написать подробнейший гайд, на русском или английском языке, где все по шагам.
Но нуждающихся в таких гайдах - тысячи, а я - один.
Поэтому либо за деньги (от 2000 руб, не меньше), либо так сказать в порядке общей очереди, то есть когда придет вдохновение, я напишу такой гайд на английском на codeproject.com, и вам могу скинуть ссылку

[VZVZ]

thehighhomie: либо разбирайтесь сами (ага, т.е. "погугли", "RTFM", "бери-сниффер-Fiddler-и-копай" и т.д.) Кстати, сам я обычно только так всё и изучаю. Сперва не понимал, как такое возможно. С опытом научился и гуглить и RTFM так, что за пару дней могу что угодно изучить.

[thehighhomie]

VZVZ: круто) я понимаю вас) если будет возможность то я обращусь к вам и платно) а на счет вашего предложения, если вы напишете гайд когда-нибудь то скиньте пожалуйста ссылку)

[VZVZ]

thehighhomie: ОК, для удобства связи лучше писать на какой-нибудь e-mail, например vfrgbthnyjtmkjnyrhtb@mail.ru (не обращайте внимание на рандом, просто банють меня на ответах майл сру часто), насчет скинуть гайд, также дайте свой e-mail, постараюсь не забыть потом))

[thehighhomie]

VZVZ: хорошо) спасибо) вот мой email: maxim.velikoshapka@gmail.com

Answer 1

[Георгий]

Пароль в куках хранить не безопасно: они хранятся и передаются в открытом виде, их легко подделать или украсть.
Обычно в куки кладём кладём какую-нибудь уникальную для каждого посетителя, но случайную чушь, идентификатор. Например, строку вида "9ebca8bd62c830d3e79272b4f585ff8f". А где-то на сервере храним (и при запросе проверяем) соответствие этой строки и конкретного пользователя.
А вообще для решения этого вопроса лучше прочитать и изучить информацию про сессии. Они работают примерно как я описал выше, но код выходит проще и понятнее.

Comments

[thehighhomie]

а можно пример? к тому случаю что я писал в комментариях у DevMan, с авторизацией пользователя.