Ich möchte ein paar Ideen sammeln, was man noch machen könnte um seine Authentifizierung sicherer zu bekommen.
Benötigt in den Scripten sind:
userid und login-status.
Szenario:
Man soll auf shared servern (also ein server wo andere personen zugriff auf das /tmp directory haben und somit sessions lesen können) keine passwörter in der session speichern.
Der Benutzer soll über mehrere Seiten hinweg eingeloggt bleiben. (versteht sich von selbst).
Ich würde jetzt eine Loginseite erstellen, wo der Benutzer seinen namen/email und sein Passwort eingibt.
Das Passwort und der Username werden mit den daten in der datenbank verglichen (md5).
ein objekt in dem die userid und der loginstatus gespeichert sind, wird in der session abgelegt (serialized).
wenn wir jetzt auf die nächste seite gehen, wird das objekt aus der session unserialized und kann wieder benutzt werden.
noch eine zusatzfrage:
wenn ich einen user über eine längere zeit hinweg eingeloggt lassen will, kann ich das ja nur mit cookies lösen.
was spricht dagegen, benutzername und passwort zu diesem zweck in einem cookie zu speichern?
Benötigt in den Scripten sind:
userid und login-status.
Szenario:
Man soll auf shared servern (also ein server wo andere personen zugriff auf das /tmp directory haben und somit sessions lesen können) keine passwörter in der session speichern.
Der Benutzer soll über mehrere Seiten hinweg eingeloggt bleiben. (versteht sich von selbst).
Ich würde jetzt eine Loginseite erstellen, wo der Benutzer seinen namen/email und sein Passwort eingibt.
Das Passwort und der Username werden mit den daten in der datenbank verglichen (md5).
ein objekt in dem die userid und der loginstatus gespeichert sind, wird in der session abgelegt (serialized).
wenn wir jetzt auf die nächste seite gehen, wird das objekt aus der session unserialized und kann wieder benutzt werden.
noch eine zusatzfrage:
wenn ich einen user über eine längere zeit hinweg eingeloggt lassen will, kann ich das ja nur mit cookies lösen.
was spricht dagegen, benutzername und passwort zu diesem zweck in einem cookie zu speichern?
Kommentar