Вопросы и ответы
Топ за год Облако тегов  

Какой способ авторизации пользователей на данный момент самый безопасный? php

php develop

Delfi, 276 просмотров
3
Скажем использование куки или сессии?
Часто вижу, что на некоторых ресурсах используют id сессии.
В общем какой алгоритм для этого применить, какую информацию заносить в куки или сессии или в ваш вариант.
При переходе на страничках какую информацию сверять, ну там имя сессии или др., идентификаторы и т.д., но в то же время не загружая сильно БД. Что где лучше хранить и в каком виде?
Вот

Примечание:
В куках хранить, а при обращении страницы, сравнивать его с записью в БД?
А когда время кончится? Снова генерить, если скажем использована кнопка запомнить?
Так что лучше, сессии или куки?

Примечание:
Т.е. можно сделать через то и то?
В куки занести скажем id сессии, а потом сверять с идентификатором текущей сессии или лучше все таки при этом использовать БД? Правда не представляется разумным, после перехода на кажду страницу делать запрос к БД. Все таки лишняя нагрузка...

Примечание:
Или я не правильно понял?

Примечание:
При каждом заходе новые использовать или в смысле как время истечет, в зависимости от настроек, генерить новые или просить по новой авторизироваться?

Примечание:
Неплохо и звучит хорошо.
ТОлько вопрос, откуда идет вот это?
6. Помимо этого, если время между активностью превысило некоторый порог - удаляем запись в БД и соответственно проверка пройти не сможет.
Вот скажем удаляется она при заходе на страницу пользователем или как? По идее же нельзя сделать так, чтобы без участия вообще кого либо происходила проверка скажем активности пользователей и ненужные данные с базы удалялись? Ну т.е. автоматический скрипт, который автоматически запускается через какое то время, такое реально вообще сделать?

Примечание:
Боюсь молодые сотрудники таког онакодить смогут. Ну это уже далеко вперед смотришь. Для начала хотя бы была идея, чего создать в сети....

Примечание:
Вот скажем надпись сейчас на сайте.
Каким образом меняется запись в бд, когда просто напросто проходит опр. время неактивности? Скрипт не запускается же сам?

Примечание:
Японский Городовой, я имел ввиду самозапускаемый скрипт без участия пользователя, я это не сколько раз написал, чтобы выделить.
Про куки читал. Курсач писали с использование куки и сессий. Собственно образно могу понять, но есть некоторые непонятки...

Примечание:
Буду иметь ввиду.
Собственно я пока ничег оне пишу, просто собираю идеи, мысли. От ошибок никто не защищен.

Примечание:
Я вам не мешаю?
Ответы:
bestia
В куках хранить идентификатор сессии. Идентификатор сессии генерировать используя ip и ограничивать по времени.
bestia
Сессии — это механизм сервера. В частности PHP. Как он будет идентифицировать клиента — дело десятое. Но в большинстве случаев все-таки используются cookies.
Японский Городовой
Открою страшную тайну. Даже две.
Механизм сессий - это не какой-то особенный волшебный элемент протокола HTTP. Это сочетание обычных, всем известных механизмов. И для идентификации клиента в нем используются, в основном... куки! Какой сюрприз!
azlab.org
Я использую следующий механизм авторизации:
azlab.org
По поводу лишний нагрузки на БД я тоже проорал :) Автор, когда у тебя будет число одновременных обращений хотя бы пару десятков тысяч - тогда еще можно немного по этому поводу переживать. Сервера БД - расчитаны на нагрузку, которую вы даже не представляете ;) К тому времени когда ваш сайт будет испытывать реальную нагрузку (то есть, вы добьетесь посещений в миллионы посетителей) - полагаю, денег уже к этому времени будет много и над кодингом будут парится молодые сотрудники ;)
Японский Городовой
Аффтар.Настоятельно рекомендую тебе почитать что-нибудь про сессии, хотя бы в мануале.
Тогда не будешь выглядеть круглым дураком с идеями типа "В куки занести id сессии". Почитай, это нетрудно.
Зато ты сразу начнешь понимать ответы.
Японский Городовой
azlab.org, ты ври-ври, да не завирайся.
Не надо в преимущества своего самопального метода перед стандартным механизмом писать точное его описание. Ты изобрел велосипед. Не хуже стандартного (если не наделал в нем ошибок, поскольку возможностей по отладке сильно меньше), но и ничуть не лучше. То же самое. Никаких преимуществ.
Японский Городовой
И непонятен пункт 4. В какую еще сессию кладется хэш, если в таблицу он записан в п.3?
azlab.org
Городовой, не тупи. Таблица, сессия и куки - это разные вещи. Преимущества - описаны сразу после слова "преимущества". Для особо одаренных типа тебя, объясняю: если куки отключены, то есть сессии и идентификатор передается обычным GET- или POST-параметром. Перед пусканием пузырей - неплохо бы самому читать мануалы
Японский Городовой
Жесть.
ажаб.орг, у тебя получается двухэтажный велосипед. на нормальный серийный велосипед ты поставил сверху еще два колеса и сиденье с рулем. Вот это я понимаю - фантазия. Тебе не в программисты, тебе в писатели надо идти. Фантастику сочинять. Или хорор.
KISS
Японский Городовой
И ещё. Автор. Не ищи "самый безопасный" метод (а так же "самый быстрый" и проч.).
Я уверен на сто процентов, что ты наделаешь дыр при реализации "самого безопасного метода" не один десяток.
И остальной сайт - тоже не бастион. Железную дверь не ставят на забор из картона. Поэтому не парься особо насчет безопасности. Новичка защищает всегда только принцип "Неуловимого Джо", а выбранный метод роли никакой не играет.
azlab.org
Городовой, если ты психически неуравновешен, то сделай одолжение - не комментируй мои ответы. Мне непонятны люди, которые при любом чужом мнении - начинают брызгать слюной и переходят на личности. Соизволь найти в себе хоть частицу уважения и пиши мой ник без каких-то жалких попыток меня задеть. От того что ты демонстрируешь свое быдлячество - вряд ли будешь смотреться экспертом.
Японский Городовой
ажаба. как ты, возможно, догадываешься, твоя просьба будет проигнорирована.
меня удручает чудовищно низкий интеллектуальный уровень отвечателей на этом сайте, и я не собираюсь слушать советы детей, только что научившихся писать. Но не умеющих читать.
Японский Городовой
Впрочем, если говорить честно, то лишнего в твоей системе - только база. Или сессии.
Но использовать два хранилища для одного и того же - это перебор. Файлы точно так же посчитать можно, как и записи в бд.
И еще хэш этот твой развесистый. Чтобы изобретать свой хэш, надо сначала доказать несостоятельность стандартного. До сих пор это никому не удалось. В куку положить, для запоминания - да. Но это совсем отдельная операция, не имеющая прямого отношения к собственно авторизации. Для которой достаточно стандартной сессии. IP кстати - это уже перестраховка, и можно обойтись, если сид передаеется только в куках.
azlab.org
Городовой не напрягайся. Читать ответы идиотов считающих себя самыми умными я не буду. Ты обычный кретин, который прочитал пару мануалов и пришел юда попытаться поразить нас своим интеллектом. А нас рать.


16 лет назад

RPI.su - самая большая русскоязычная база вопросов и ответов. Наш проект был реализован как продолжение популярного сервиса otvety.google.ru, который был закрыт и удален 30 апреля 2015 года. Мы решили воскресить полезный сервис Ответы Гугл, чтобы любой человек смог публично узнать ответ на свой вопрос у интернет сообщества.

Все вопросы, добавленные на сайт ответов Google, мы скопировали и сохранили здесь. Имена старых пользователей также отображены в том виде, в котором они существовали ранее. Только нужно заново пройти регистрацию, чтобы иметь возможность задавать вопросы, или отвечать другим.

Чтобы связаться с нами по любому вопросу О САЙТЕ (реклама, сотрудничество, отзыв о сервисе), пишите на почту [email protected]. Только все общие вопросы размещайте на сайте, на них ответ по почте не предоставляется.