Виктория пишет:
Хм, сессия живет до закрытия страницы в браузере а у кук указано время жизни.
Ну так раз нужно определить время для авторизации, так и сделать через куки, не трогая сессии...
16. igrok54 - 3 мая 2011 — 15:23 - перейти к сообщению
Ну так раз нужно определить время для авторизации, так и сделать через куки, не трогая сессии...
17. shyuser - 3 мая 2011 — 15:43 - перейти к сообщению
По мне правильно так:
- когда пользователь открывает страницу сайта, проверяется наличие сессии и если нет сессии, то проверка куки для данного сайта и если есть, то проверяется по логину валидность пароля иначе форма авторизации;
- куки сохраняем только если пользователь при авторизации на сайте поставит галочку Запомнить, иначе только сессия;
(Добавление)
Почему открытом? Генерируется ключ, который добавляется к хэшу md5 пароля, и тоже делается хэш и сохраняется в куки (если пользователь выбрал Запомнить) и на сервере. Узнать из куки пароль, не зная ключ, который хранится на сервере, невозможно. Я же привел выше пример в коде.
- когда пользователь открывает страницу сайта, проверяется наличие сессии и если нет сессии, то проверка куки для данного сайта и если есть, то проверяется по логину валидность пароля иначе форма авторизации;
- куки сохраняем только если пользователь при авторизации на сайте поставит галочку Запомнить, иначе только сессия;
(Добавление)
vipraskrutka пишет:
в открытом виде?
Почему открытом? Генерируется ключ, который добавляется к хэшу md5 пароля, и тоже делается хэш и сохраняется в куки (если пользователь выбрал Запомнить) и на сервере. Узнать из куки пароль, не зная ключ, который хранится на сервере, невозможно. Я же привел выше пример в коде.
18. Виктория - 5 мая 2011 — 14:42 - перейти к сообщению
igrok54, а зачем использовать куки для авторизации? както глупо, а если они у человека отключены? зачем усложнять, если механизм сессий очень хорошо для этого подходит!
shyuser
Все обсолютно верно!. Спасибо. + с меня.
shyuser
Все обсолютно верно!. Спасибо. + с меня.
19. alex_optek - 18 марта 2012 — 10:08 - перейти к сообщению
Столкнулся с тем, что Боты лезут в Админцентр, (правда без последствий) сначала запрещал адреса Ботов, но на форуме нашел рекомендацию и ссылку по использованию .htaccess.
Добавил в него запрет на доступ к файлу
Где 217.118 зона моих динамических адресов.
Добавил в него запрет на доступ к файлу
CODE:
<Files "admincenter.php">
Order Deny,Allow
Deny from all
Allow from 217.118
</Files>
<Files "admincenter.php">
Order Deny,Allow
Deny from all
Allow from 217.118
</Files>
Где 217.118 зона моих динамических адресов.
20. BON - 18 марта 2012 — 17:28 - перейти к сообщению
alex_optek, можно ещё поставить пароль на админку посредством htaccess и будет двойная авторизация: со стороны сервера и со стороны самого двига
21. yura3d - 18 марта 2012 — 18:07 - перейти к сообщению
alex_optek
BON
В подобных методах защиты нет необходимости
BON
В подобных методах защиты нет необходимости
22. BON - 19 марта 2012 — 13:57 - перейти к сообщению
yura3d пишет:
В подобных методах защиты нет необходимости
да эт опонятно. это если кому то очень надо..................
23. alex_optek - 19 марта 2012 — 18:41 - перейти к сообщению
yura3d пишет:
alex_optek
BON
В подобных методах защиты нет необходимости
BON
В подобных методах защиты нет необходимости
Да я это понимаю, но
BON пишет:
да эт опонятно. это если кому то очень надо..................
и просто для освоения .htaccess и возможно других методов дополнительной защиты.
Спасибо
24. Леший - 19 марта 2012 — 18:43 - перейти к сообщению
Тогда ещё один метод,-поставь каптчу на входе.
25. alex_optek - 19 марта 2012 — 19:01 - перейти к сообщению
Леший пишет:
Тогда ещё один метод,-поставь каптчу на входе.
Да я о таком варианте уже думал как достаточном, но пока еще не освоил добавление каптчи.