|
| |
|
|
| |
для: Diman
(22.12.2006 в 13:57)
| | | ну если какой нить хакер залезет в мою БД то пипец:):) на самом деле ВСЕГДА храни в базе только хэши паролей, а если юзверь забыл его, то намного проще я считаю сгенерить для него новый пароль чем геморойничать с расшифровкой хэша... а по поводу отдельной базы данных для админа: конечно перестраховаться никогда не вредно но на мой взгляд это уже лишнее, так как уж если хакер нашел дорожку в твою базу, то там уж по барабану:) но это моё мнение... | |
| |
|
|
| |
|
|
| |
для: malish
(22.12.2006 в 13:10)
| | | Теперь понятно. Спасибо.
У меня конечно посложнее вышло. Для тех кому я доверю пользоваться администраторскими правами у меня отдельно заведена БД и отдельные к ней коды. Занести пользователя как администратора могу только я один. Для этого я захожу в админ-панель и регестрирую того человека, кому я доверяю. Он вносится в эту БД. А затем при входе в админ-панель естественно он вводит свой пароль и логин, ну как обычно. Только вот если он забудет свой пароль, то и я его тоже не смогу для него достать. У меня его пароль заносится в БД под функцией md5().
Ваш способ намного проще, да и поудобней будет. Но если какой-нибудь хакер залезет в вашу БД, то он увидит эти пароли. Как тогда быть?
Если же вносить их через md5(), то чтобы его расшифровать нужен уже будет скрипт его расшифровки делать, хотя он уже давно выложен на этот сайт. | |
| |
|
|
| |
|
|
| |
для: Diman
(22.12.2006 в 12:43)
| | | ну я так понимаю что Loki имеет в виду что нужно заранее обдумать политику разграничения доступа к ресурсам сайта, например: создаем 3 вида пользователя: Guest, RegisteredUser И Admin. и соответственно в сессии забиваем не логины а собственно вот эти переменные. и отсюда уже бегаем... так в будущем намного проще будет разрешать или запрещать доступ посетителя к ресурсам сайта, достаточно лишь будет в его записи в базе данных забить соответствующее право доступа... а в самом коде уже проверять и соответственно "отсекать" тех кому тут быть не надо:) | |
| |
|
|
| |
|
|
| |
для: Loki
(22.12.2006 в 12:15)
| | | А по подробнее можно? | |
| |
|
|
| |
|
|
| |
для: Diman
(22.12.2006 в 10:43)
| | | Если сайт надо написать и бросить - путь вполне нормальный. Если же его надо будет потом поддерживать, то такой способ вам еще очень аукнется. Лучше сразу вводить группы пользователей с разделением прав. | |
| |
|
|
| |
|
|
| |
для: Loki
(22.12.2006 в 10:07)
| | | В таком случае (по крайней мере я так использую) при регистрации пользователя заносишь его логин, пароль и т. д. в БД, но так, чтобы логины не совпадали. А вот когда любой пользователь заходит на index.php то у него в начале в переменную сессии загоняется значение "Гость" до тех пор пока он не вошел под своим именем и паролем на сайт. Если зашел, то значение сессии меняется на значение логина из БД. Ну а затем спокойно проверяешь переменную сессии. Если она не "Гость" то пускаешь куда тебе надобно. В противном случае выкидываешь на страницу какая там тебе нужна. | |
| |
|
|
| |
|
|
| |
для: Паша
(22.12.2006 в 08:23)
| | | А если у пользователя отключены куки? Или вообще не поддерживаются? (например, с мобилы сидит) Вы про сессии что-нибудь слышали? | |
| |
|
|
| |
|
|
| |
для: WinD
(18.12.2006 в 15:46)
| | | Всё это можно реализовать с помощью cookies. Проверяешь если кук установлен, то допускаешь, если нет - выкидываешь на регистрацию. Кук устанавливаешь, когда пользователь ввел правильные данные при регистрации! Всё элементарно. | |
| |
|
|
| |
|
|
| |
для: WinD
(18.12.2006 в 15:46)
| | | Авторизация какой механизм использует: cookie, сессию, Basic-авторизацию? | |
| |
|
|
| |
|
|
| |
для: WinD
(18.12.2006 в 15:46)
| | | Ну проверяйте когда они логинятся,если нет сессии что они залогинены то не показывать страницу и перенаправлять на страницу авторизавции) | |
| |
|
|
|
