+ Rispondi alla Discussione
Risultati da 1 a 9 di 9

Gestione utenti php - salvare cookies

Ultimo Messaggio di ldgweb il:
  1. #1
    Utente Premium L'avatar di Tuonorosso
    Data Registrazione
    Mar 2005
    Località
    Lecco
    Messaggi
    1,997

    Gestione utenti php - salvare cookies

    Ho un quesito.
    Ammettendo di avere tutta la parte di autenticazione degli utenti in php e gestione delle sessioni, come salvereste nei cookie i dati dell'utente per non dover fargli rifare il login?
    Salvereste user e pass (in md5) nei cookie?

    Attendo suggerimenti

    CIAO

  2. #2
    Utente Premium L'avatar di Tuonorosso
    Data Registrazione
    Mar 2005
    Località
    Lecco
    Messaggi
    1,997
    Giro la domanda:

    cosa salvano i vari forum quando si spunta su RICORDAMI AD OGNI VISITA?


  3. #3
    dax
    dax è offline
    User
    Data Registrazione
    Jul 2006
    Messaggi
    38
    Ciao io utilizzo semplicemente il nome utente che è univoco e da li poi richiamo tutti i dati che mi servono.

    Ciao
    Dax

  4. #4
    Utente Premium L'avatar di Tuonorosso
    Data Registrazione
    Mar 2005
    Località
    Lecco
    Messaggi
    1,997
    Citazione Originariamente Scritto da dax
    Ciao io utilizzo semplicemente il nome utente che è univoco e da li poi richiamo tutti i dati che mi servono.

    Ciao
    Dax
    Ma scusa, facendo così se io mi creo un cookie con il nome di un utente e vengo sul tuo sito mi ritrovo loggato con quell'utente...non è un po rischioso?

  5. #5
    User Attivo
    Data Registrazione
    Nov 2004
    Località
    Catania
    Messaggi
    1,142
    Citazione Originariamente Scritto da Tuonorosso
    Ma scusa, facendo così se io mi creo un cookie con il nome di un utente e vengo sul tuo sito mi ritrovo loggato con quell'utente...non è un po rischioso?
    Si, e molto.

    la funzione cookie( ) di PHP permette infatti anche di poter registrare un cookie a nome di un dominio differente.

    Consiglierei quindi di usare la direttiva session.cookie_lifetime presente nel php.ini per allungare la "vita" di una sessione. Questa variabile nel suddetto file è di default settata a 0, avendo come risultato una sessione che scade ogni chiusura di browser.

    Se allunghiamo il periodo di vita del cookie di sessione ( sempre nel caso se ne faccia uso ) conserveremo il suo contenuto per quanto tempo ne abbiamo bisogno. Spesso si usa lasciarlo per tempi lunghi, come 2 anni ( 2*365*24*30*30 secondi ), oppure per un tempo inferiore.

  6. #6
    Esperto L'avatar di piccolo socrate
    Data Registrazione
    Sep 2006
    Località
    Roma, che domande!
    Messaggi
    503
    Citazione Originariamente Scritto da PaTeR
    session.cookie_lifetime
    e come la modifico?
    dal php.ini in hosting... non ho accesso!

    cmq per risolvere il problema del "ricordami" io uso una "Password di sessione":

    setto cookie con username e 1 numero generato (di 11 cifre ovviamente diversa dalla reale password, col rand() ) così l'utente quando torna ha una sua 2° password che io controllo dalla tabella delle sessioni l'esistenza della riga con l'username e la relativa password di sessione.

    che ne dici?

  7. #7
    User Newbie
    Data Registrazione
    Jan 2013
    Località
    Verona
    Messaggi
    2
    Salve sono un mega neofita di php ma mi ha incuriosito cercando la gestione utenti sono cappato qua. Chiedo gentilmente per pura curiosità se qualcuno ha un link o una informazione dove cercare come costruire in php una gestione utenti assegnando gruppo e privilegi in php e mysql.
    Attendo info.
    Grazie ancora in anticipo.
    Ciao a tutti e buon lavoro

  8. #8
    Moderatore L'avatar di lucabartoli
    Data Registrazione
    Feb 2010
    Località
    Torino
    Messaggi
    510
    Se proprio bisogna salvare in un cookie i dati di autenticazione, bisogna fare in modo che il cookie non sia leggibile dal proprietario (l'utente, e quindi eventuali sniffer) e possibilmente che non sia trasportabile (es. copio il cookie dell'utente sulla mia macchina e gli ho rubato l'accesso).
    E sempre, sempre, utilizzare algoritmi di cifratura decentemente robusti (md5 non lo è, magari sha256 o sha512).

    Luca

  9. #9
    User
    Data Registrazione
    Feb 2012
    Località
    napoli
    Messaggi
    50
    Io in genere salvo una chiave generata random come cookie per l'utente che insieme ad altri dati formano la chiave completa che viene registrata nel database.
    Quando l'utente accede prelevo il cookie con la chiave che insieme agli altri dati genera il token completo che mi servirà per effettuare la ricerca nel database se trova un risultato aggiorno l'utente come autenticato.
    Logicamente sta all'utente stare attento a non farsi rubare il cookie cliccando url malevoli ecc.
    Io per conto mio nella chiave registro dati che mi possono servire per capire se l'utente è davvero quello che ha effettuato il login oppure no come ad esempio il browser usato.

    Spero di essermi spiegato bene XD sono un pò negato nel spiegare le cose....
    Q&A per Programmatori: http://raftlive.com

+ Rispondi alla Discussione

Tag per Questa Discussione

^ Permessi di Scrittura

  • Tu non puoi inviare nuove discussioni
  • Tu non puoi inviare risposte
  • Tu non puoi inviare allegati
  • Tu non puoi modificare i tuoi messaggi
  •  
  • Il codice BB è Attivato
  • Le faccine sono Attivato
  • Il codice [IMG] è Attivato
  • Il codice [VIDEO] è Attivato
  • Il codice HTML è Disattivato
  • Trackbacks Attivato
  • Pingback Attivato
  • Refback Attivato

SEO by vBSEO 3.6.0 PL2 ©2011, Crawlability, Inc.