Посоветуйте
Посеветуйте плз какой-нибудь полноценный обзор или статью из разряда "как правильно организовать систему пользователей на сайте". Ну т.е. чтоб там объяснялось как, где и для чего вообще следует использовать cookies, сессии, где лучше хранить логины и пароли, как шифровать, как проверять и сравнивать и т.д.
Много есть отдельно по печенюшкам, по сессиям, по шифрованию... по всему. Но хотелось бы чтоб человек описал "от и до" весь процесс организации системы пользователей, так сказать на конкретном примере, и сказал - вот так - правильно.
Много есть отдельно по печенюшкам, по сессиям, по шифрованию... по всему. Но хотелось бы чтоб человек описал "от и до" весь процесс организации системы пользователей, так сказать на конкретном примере, и сказал - вот так - правильно.
Могу порекомендовать посмотреть best practice у CMS-ок, например, Drupal, Joomla!, Wordpress.
Да ну в поиск посмотрите!
По кукисах:
http://rus-phpnuke.com/php/cookies.html
http://omsk777.ru/all.php?act=cookie
http://deutschmann.ru/online-manual/php-manual/chapter13.htm
http://www.re.mipt.ru/infsec/2004/essay/2004_Cookie_Authentication__Volkov.pdf
http://www.realcoding.net/article/view/4510
По сессиях:
http://www.cubes.com.ua/documentation/index.php?page=articles/phpsessions
http://www.softtime.ru/bookphp/gl8_1.php
http://www.compdoc.ru/internet/php/session2/
http://www.cyberguru.ru/web/php/sessions-truth.html
http://www.atmsk.ru/?p=116
http://www.sql.ru/forum/actualthread.aspx?tid=490910
http://www.forum.grudina.info/archive/index.php/t-189.html
http://www.opennet.ru/openforum/vsluhforumID8/2982.html
http://www.phpfaq.ru/sessions
По шифровании:
http://forum.codenet.ru/showthread.php?t=3350
http://i-vd.org.ru/books/php/security.shtml
http://www.php.com.ua/forum/viewtopic.php?f=14&t=8467
http://phpclub.ru/detail/article/php_security1
http://php.mirror.camelnetwork.com/manual/ru/security.php
http://php.morva.net/manual/ru/security.database.php
На счет храниения паролей - аффтару оставляю право самому выбрать истинный путь.
По кукисах:
http://rus-phpnuke.com/php/cookies.html
http://omsk777.ru/all.php?act=cookie
http://deutschmann.ru/online-manual/php-manual/chapter13.htm
http://www.re.mipt.ru/infsec/2004/essay/2004_Cookie_Authentication__Volkov.pdf
http://www.realcoding.net/article/view/4510
По сессиях:
http://www.cubes.com.ua/documentation/index.php?page=articles/phpsessions
http://www.softtime.ru/bookphp/gl8_1.php
http://www.compdoc.ru/internet/php/session2/
http://www.cyberguru.ru/web/php/sessions-truth.html
http://www.atmsk.ru/?p=116
http://www.sql.ru/forum/actualthread.aspx?tid=490910
http://www.forum.grudina.info/archive/index.php/t-189.html
http://www.opennet.ru/openforum/vsluhforumID8/2982.html
http://www.phpfaq.ru/sessions
По шифровании:
http://forum.codenet.ru/showthread.php?t=3350
http://i-vd.org.ru/books/php/security.shtml
http://www.php.com.ua/forum/viewtopic.php?f=14&t=8467
http://phpclub.ru/detail/article/php_security1
http://php.mirror.camelnetwork.com/manual/ru/security.php
http://php.morva.net/manual/ru/security.database.php
На счет храниения паролей - аффтару оставляю право самому выбрать истинный путь.
Про пароли сразу скажу, что [color=red]НЕЛЬЯ хранить их в востанавливаемом виде у себя на сервере и у клиента в кукисах![/color].
Лучше всего делать мускльный PASSWORD() от PHP-ного md5($passwd.'&4#&54*(');, например
Лучше всего делать мускльный PASSWORD() от PHP-ного md5($passwd.'&4#&54*(');, например
Цитата: Dolonet
Лучше всего делать мускльный PASSWORD() от PHP-ного md5($passwd.'&4#&54*(');, например
или же ENCODE($passwd)
Имхо, стать на русском в которой описано все это просто нет.
Ну вот такой простой вопрос: где хранить информацию о пользователях. Т.е. логины, пароли, еще какие-либо данные. Если это реализовать таблицей в БД (естессна зашифровать) это не станет жутчайшей дырой в безопасности? Как делаете например вы?
Нет, это не станет дырой. Всё-равно надо где-то хратить. Уж лучше в БД на сервере, чем в файлах. Так делают все.
Цитата: Kenku
Но хотелось бы чтоб человек описал "от и до" весь процесс организации системы пользователей, так сказать на конкретном примере, и сказал - вот так - правильно.
От нечего делать написал что-то вроде примера с комментариями, но он работает с сессиями, без куков. Скрипт проверен, 100% рабочий. Не идеальный, но концепция работы регистрации, авторизации должна быть понятна из этого примера.
Надеюсь скрипт написан был не зря и поможет новичкам. ;)