Работая над одним проектом в котором я сделал систему аутентификации пользывателя, я задался вопросом: а не слишком-ли все просто? не будет ли все так просто взломать?
Как я все сделал:
У меня есть БД в котором хранаться все данные о сушествуюших пользывателей, в том числе есть столбец passwd которая содержит пароли пользывателей как обычный текст, без всякой шифровании.
При входе делается обычный selesct и проверяются данные из базы с данными из формы (тип поля с паролем конечно-же password, не текст) и потом если данные совпадают они записываются в переменные типа $_SESSION['var'].
Вопрос:
Пароль не может быть украденным с помошью прог которые улывливают все http запросы?
Насколько надёжны сесии, хацкеры не смогут дойти до тех самых файлах которые хранят инфу о сесиях?
Какие еше могут быть минусы в этой системе с которой я работаю?
за помошь заранее спасибо...
1. Alfa - 10 Августа, 2006 - 17:04:00 - перейти к сообщению
2. SKIF - 10 Августа, 2006 - 17:36:13 - перейти к сообщению
не знаю... насчет твоего вопроса.. но я бы не хранил чистые пароли.... вот как в IPB организованно это посмотри. Там достаточно надежно имхо. (там берется md5(password+string) в базе сохраняется именно этот хэш и переменная string.. )
до сессий сложно добраться.
до сессий сложно добраться.
3. ETC - 14 Августа, 2006 - 04:57:15 - перейти к сообщению
1. Может. Даже если он хешированный. Идентификатор сессии хранится в куках (или в адресной строке), зная его можно залогиниться.
2. Могут, если взломают сервер.
3. Просмотр паролей не должен быть возможен. Хешируй в md5.
2. Могут, если взломают сервер.
3. Просмотр паролей не должен быть возможен. Хешируй в md5.