Как правильно и безопасно создавать авторизацию на PHP?

Question

[Максим Иванов]

Когда передаются данные из формы методом POST, а потом принимаются на сервере, чтобы в итоге залогинить админа такая схема подойдет?

Answer 1

[ThunderCat]

Back to '90s ?

Comments

[Максим Иванов]

подскажите как правильно?

[Максим Иванов]

ааа, ну так то да)

Answer 2

[Котик Антон]

1. Пароль не должен храниться в куках.
2. Пароль не должен вообще где-либо храниться в открытом виде.

Как правильно и безопасно создавать авторизацию на PHP?

Использовать фреймоворк, или отдельные компоненты для авторизации, или проверенные временем библиотеки.

Comments

[trevoga_su]

т.е. без фреймворка сейчас уже и авторизацию люди не в состоянии написать?

[Котик Антон]

Neoline: Сайты не мои, понятия не имею.
trevoga_su: Зачем изобретать велосипед?

[Barmunk]

trevoga_su: походу да, на любой вопрос они все ссылаются на фреймворки, и еще при этом нос воротят от какого-нибудь вордпресса

Answer 3

[O . J]

Добавь trim и регулярку на логин и пароль, например:
Имя пользователя (с ограничением 2-20 символов, которыми могут быть буквы и цифры, первый символ обязательно буква):
^[a-zA-Z][a-zA-Z0-9-_\.]{1,20}$
Пароль (Строчные и прописные латинские буквы, цифры):
^(?=.*\d)(?=.*[a-z])(?=.*[A-Z])(?!.*\s).*$
habr

Comments

[Котик Антон]

За ограничения на используемые в пароле символы нужно давать ремня.

[Максим Иванов]

а зачем проверять регуляркой пароль и логин? если нам нужно сравнивать две переменные на ==

[O . J]

splincodewd: потому, что без регулярки логин может прийти такого вида (_#%!SFAJNFQвфвфыв/,vW12424sf...qwr>), и произвольной длины. Собственно тут страшны не рандомные символы, а то, что если не контролировать длину строки, то она будет присвоена переменной, и начнет сравнивать. В любом случае всегда нужно фильтровать входящею информацию перед совершением каких то действий с ней.