[ Milan M. Radovic @ 28.06.2006. 14:22 ] @
| Da li je bezbedno koristiti setcookie() za login? |
|
[ Milan M. Radovic @ 28.06.2006. 14:22 ] @
[ _korso_ @ 28.06.2006. 14:57 ] @
Ukoliko ti nije bitna sama sigurnost tj. ukoliko ti je login "cista formalnost" da kazem (slicno kao i na ES, sluzi da se prati kada je koji korisnik online, poruke koje postuje, kada se prijavljujes na neke meiling liste i sl...), gde sajt znaci ne sadrzi neke poverljive informacije (npr. kada vrsis placanje preko sajta -> ostavljas na sajtu broj kreditne kartice i sl...), setcookie (), mozes da koristis. Tako ti ostaje sifra u tvom browseru i mozes da je vidis, kao i neko drugi. A ako je sajt sasvim drugacije namene, kao sto sam malopre rekao, setcookie () nemoj da koristis. Za implementaciju takvog login resenja treba malo vise raditi, kako bi se dobila koliko toliko sigurna login forma. Uglavnom se sve vrti preko sesija, mada naravno da postoje i razni drugi sigurniji ili manje sigurni nacini...
[ broker @ 28.06.2006. 14:59 ] @
Pojasni malo sta si namerio da radis sa setcookie. Savim je ok ako ces id sesije da drzis u kolacicu, ali nikako nije ok ako u kolacicu drzis username i password ili nedajboze neke druge podatke.
[ Milan M. Radovic @ 28.06.2006. 16:42 ] @
Radim sajt za neku firmu i to je login za admin panel.
U cookie drzim "admin" koji traje odredjeno vreme... Ako klikne logout,brise se. Ali danas umalo nisam dobio slog jer na Veratu izgleda ne radi setcookie(); Jel neko na veratu i ima SetCookie() da radi? Da li radi i zasto moze da ne radi? [ Jezdimir Lončar @ 28.06.2006. 17:16 ] @
Ne volim ničiji hosting da ogovaram ili bilo šta slično ali Verat definitivno ne bi bio moj 1. izbor za hosting provajdera. Možda griješim ali to je moje mišljenje.
Sad, ja koristim uglavnom cookije za LogIn. Mislim, sad sam baš pravio administraciju za jedan sajt, i tu sam koristio samo if...else.. login + cookije. Mada tu neće biti nikakvi šta ja znam važni podaci... Uglavnom, ako želiš neku veću bezbjednost, nemoj koristiti cookije ali mislim da bi za taj ACP bili cookiji OK. [ Not now, John! @ 28.06.2006. 17:37 ] @
Najbolje je da koristiš sesije.
[ Milan M. Radovic @ 28.06.2006. 21:01 ] @
Citat: Najbolje je da koristiš sesije. Ne znam kako se koriste ...moze neko da mi napise kod sa session u stilu set session i kako da proverim (nesto sa if petljom) da li session postoji.. Uopste kako to funkcionise? Druga ideja je da radim login preko SQL baze.Da belezi IP,logintime,expiretime... [ Not now, John! @ 28.06.2006. 21:57 ] @
http://www.php.net/manual/en/ref.session.php
Inače je vrlo jednostavno. Na početku svake skripte pozoveš: Code: session_start(); i sve varijable smještaš u globalnu varijablu $_SESSION, npr. Code: $_SESSION['user']=username; $_SESSION['pass']=password; [ glavince @ 28.06.2006. 22:10 ] @
login.php
Code: <? session_start(); $ime = "ime"; $password = "password"; if (($_POST['ime'] == $ime) && ($_POST['password'] == $password)) { $_SESSION['ime'] = $_POST['ime']; $_SESSION['password'] = $_POST['password']; echo "uspesno ste se logirali"; echo "<meta http-equiv=\"refresh\" content=\"3;URL=test.php\">"; } else { ?> <form name="form1" method="post" action=""> <input name="ime" type="text" id="ime"><br> <input name="password" type="text" id="password"><br> <input type="submit" name="Submit" value="Submit"> </form> <? } ?> test.php Code: <? session_start(); if (isset($_SESSION['ime']) && ($_SESSION['password'])) { echo "Vase ime je ".$_SESSION['ime']."<br>"; echo "Vas password je ".$_SESSION['password']."<br>"; } else { echo "nemate pristup"; } ?> ako zelis da se odlogiras koristi funkciju session_destroy(); [ Ivan.Markovic @ 28.06.2006. 23:40 ] @
Citat: choks87: Da li je bezbedno koristiti setcookie() za login? Jeste bezbedno sve dok ne omogucis (citaj: napravis neki sigurnosni propust u kodu) citanje cookia na neki ne predvidjen nacin. Isto vazi i za sesije ... Copyright (C) 2001-2026 by www.elitesecurity.org. All rights reserved.
|