Лучший способ создать область входа в PHP - PullRequest
Новая
       1

Лучший способ создать область входа в PHP

2 голосов
/ 29 июля 2010

Я могу создать область входа в PHP и сделать это путем установки переменной сеанса и проверки, установлена ​​ли эта переменная сеанса или нет.На каждой запрещенной странице я проверяю, установлена ​​ли определенная переменная сеанса (или равна ли она определенному значению).Если нет, то я отправлю пользователя обратно на страницу входа.Это лучший способ сделать это?Есть ли более безопасный способ сделать это?

Ответы [ 3 ]

1 голос
/ 29 июля 2010

При настройке системы входа в систему есть над чем подумать.Вот несколько вопросов, на которые вы хотите ответить:

  • Безопасность: вам необходимо шифровать пароли везде, где они хранятся (файлы cookie, базы данных, сеансы и т. Д.).Как вы это сделаете?
  • Смогут ли пользователи размещать логин на каждой странице?Или будет страница централизованного аккаунта?
  • Есть ли функция запомнить меня?
  • Как пользователи будут выходить из системы?
  • У вас есть активация на вашем сайте?Как это будет работать?Как вы будете иметь дело с различными сценариями, такими как неактивированные пользователи, пытающиеся войти в систему?
  • Будет ли у вас перенаправление входа / формы?То есть, если пользователь заходит на страницу без входа в систему, вы отправите его туда после входа?Что если они попытаются отправить форму?Будете ли вы повторно отправлять форму.

Вы правильно поняли основную идею, но то, как вы все структурируете, зависит от этих и других вопросов.

1 голос
/ 29 июля 2010

Это нормально и нормально.В верхней части страницы у вас есть заголовок, который запускает сеанс и проверяет, прошел ли пользователь аутентификацию.Если это не так, заставьте их войти в систему.

Хорошо и безопасно, если ваши идентификаторы сеансов непредсказуемы, истекают достаточно быстро и вы используете SSL.

Если кто-то можетугадайте ваши идентификаторы сеанса, они могут захватить логин другого пользователя.

Если вы не используете SSL, злоумышленник может украсть идентификатор сеанса, когда клиент отправляет его вам.

Если ваши сеансы никогда не будутистечение срока действия удостоверения в конце концов можно угадать.

0 голосов
/ 29 июля 2010

У меня раньше был похожий вопрос по SO, и здесь - это ответы от охранников.

Короче говоря, вы должны думать о других вещах, таких как SSL и хеширование паролей, и т.д ...

Надеюсь, это поможет:)

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.

Нет похожих вопросов

...