Dobrý den,
rád bych požádal o radu.
Mám web zhruba o 30-40 členech, fotbalovou online ligu. Každý uživatel má vlastní účet, přihlasí se
, zádává komentáře k článkům, posílá výsledky ...
Mám to zařízené přes SESSIONS. Neco v tomto stylu -> $_SESSION['prihlasen'] = $row['jmeno']; // pokud se hrac dobre prihlasi, ulozi se sessions a tu pak prenasim po webu a kontroluji zda-li je naplnena.
A ted k problemu, rad bych aby se hraci nemuseli pokazde logovat, kdyz zavrou web. Tudiz chci implementovat cookies. Nicmene jsem s nimi nikdy nepracoval. Muj puvodni zamer je ulozit do cookies tu sessions -> setcookie('prihlasen_cokie', $_SESSION['prihlasen'], time()+cas);
Nicmene nevim tedy tu bezpecnost? Poradite mi? Nejak to hashnout ci co? Nejde o extremne dulezite informace, pochybuji ze by napriklad sourozenec hrace psal nejaky komentar ale stejne.
DIKY
Pokud uložíš do cookies jméno uživatele a pak budeš kontrolovat jestli tam to jméno je a tudíž jestli ho příhlásíš nebo ne, tak nehrozí jen že sourozenec bude psát něco za bráchu.
Hrozí i to, že si prostě někdo přepíše cookie, dá tam místo svého jména jméno někoho jiného (kohokoliv kdo je registrovaný) a bude se přihlašovat jako on.
kdyz to treba to jmenu hashnu pres dejme tomu crypt + naky fce jako substr...aby to hazelo fakt zahadnej retezec ... bude to pak lepsi?
Bude ale jak pak poznáš jaké jméno v tom cookie je uloženo? :-)
Musel bys procházet všechna jména co jsou v databázi, každé zacryptovat a porovnat.
Když už jména, tak by bylo lepší mít v cookie to jméno dvakrát, jednou normálně a jednou cryptovaně. Pak by při přihlašování stačilo přečíst to nezakódované jméno, porovat se zakódovaným a přihlásit.
To už ale můžeš rovnou ukládat to cookies jméno + hash hesla.
Já třeba ukládám id číslo + něco navíc pro zabránění přepsání tohoto čísla (resp. přepsání zabránit nejde, ale nebude to pak fungovat).
A nebo to udělej jako všichni a nech to pořád přihlašovat. Vyplňování jm a hesla pak můžeš nechat třeba na mozilí password manager...
mno udelal sem to co mi poradil tom a navic sem to zprnil funkcema MD5,CRYPT, STRREV, SUBSTR :)) myslim ze to nerozkoduje ani jezis :). DIK