/ Forside / Teknologi / Udvikling / PHP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
PHP
#NavnPoint
rfh 3959
natmaden 3372
poul_from 3310
funbreak 2700
stone47 2230
Jin2k 1960
Angband 1743
Bjerner 1249
refi 1185
10  Interkril.. 1146
Bruger kontrol
Fra : Konstantin Barkaia


Dato : 16-10-03 23:08

Hej ng.

Jeg vil lave en side hvorpå man skal kunne logge ind. Hvilken metode er
best at anvende?

Jeg kender til to:

1) brugeren indtaster sin navn i en form, php undersøger om brugernavn
og password er i overensstemmelse med dem i mysql databasen, hvis så
bliver der send en cookie til brugeren. Når han kommer ind på en
hemmelig side undersøges om brugeren har modtaget cookien, hvis ikke
nægtes han adgang, ellers har han frit spil.

Problemet her er at det garanteret er muligt at lave en cookie selv og
sende den til webserveren og på den måde alligevel få adgang uden at
indtaste brugernavn og password. Jeg mener altså ikke at sikkerheden er
ret god. Er dette korrekt? Er der nogen som kender metoder til at
forbedre sikkerheden vid brug af denne metode?

2) At bruge apaches egen metode. Den eneste sikkerheds trussel jeg kan
se her er sniffere som kan opsnusse passwordet, da det ikke sendes
krypteret, dette kan der dog også laves om på.

Er der nogle andre metoder som er bedre end de overstående?


 
 
Johan Holst Nielsen (16-10-2003)
Kommentar
Fra : Johan Holst Nielsen


Dato : 16-10-03 23:31

Konstantin Barkaia wrote:
> Problemet her er at det garanteret er muligt at lave en cookie selv og
> sende den til webserveren og på den måde alligevel få adgang uden at
> indtaste brugernavn og password. Jeg mener altså ikke at sikkerheden er
> ret god. Er dette korrekt? Er der nogen som kender metoder til at
> forbedre sikkerheden vid brug af denne metode?

Bruger sessions istedet ;) Det er en del mere sikkert end cookie metoden
- da den gemmer en cookie (dog andre tilfælde andet - afhænger af
opsætning), denne har en værdi som referer til "sessionen" som ligger i
f.eks. /tmp/ på webserveren.

http://dk.php.net/session

mvh
Johan


Konstantin Barkaia (18-10-2003)
Kommentar
Fra : Konstantin Barkaia


Dato : 18-10-03 00:34

Johan Holst Nielsen wrote:
> Konstantin Barkaia wrote:
>
>> Problemet her er at det garanteret er muligt at lave en cookie selv og
>> sende den til webserveren og på den måde alligevel få adgang uden at
>> indtaste brugernavn og password. Jeg mener altså ikke at sikkerheden er
>> ret god. Er dette korrekt? Er der nogen som kender metoder til at
>> forbedre sikkerheden vid brug af denne metode?
>
>
> Bruger sessions istedet ;) Det er en del mere sikkert end cookie metoden
> - da den gemmer en cookie (dog andre tilfælde andet - afhænger af
> opsætning), denne har en værdi som referer til "sessionen" som ligger i
> f.eks. /tmp/ på webserveren.
>
> http://dk.php.net/session
>
> mvh
> Johan
>

OK ... Tak for hjælpen


Søg
Reklame
Statistik
Spørgsmål : 177559
Tips : 31968
Nyheder : 719565
Indlæg : 6408935
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste