http://softtime.ru/forumhttp://softtime.ru/forum/read.php?id_forum=1&id_theme=83388#post503480"Чем лучше? Функция агрегатная, чтобы провернуть SQL-инъекцию придется сильно покумекать над GROUP BY (я вот например сходу что-то даже не...Безопасность авторизации.Thu, 26 Jan 2012 13:51:01 +0300cheopshttp://softtime.ru/forum/read.php?id_forum=1&id_theme=83388#post503460Это интересно для общего развития, но я начал тему с того, что мне не нужна сверхзащита. Об этом тут уже...Безопасность авторизации.Thu, 26 Jan 2012 11:13:03 +0300Sfinkshttp://softtime.ru/forum/read.php?id_forum=1&id_theme=83388#post503459" Да, только лучше count(id_user) вместо просто id_user. Чем лучше? " Переменные $_COOKIE и $_COOKIE обязательно обработать на предмет SQL-инъекции....Безопасность авторизации.Thu, 26 Jan 2012 11:05:18 +0300Sfinkshttp://softtime.ru/forum/read.php?id_forum=1&id_theme=83388#post503458" В конце концов можно не вводить поле, можно просто класть md5-хэш, а при аутентификации расшифровывать пароль и получать его...Безопасность авторизации.Thu, 26 Jan 2012 11:01:13 +0300Sfinkshttp://softtime.ru/forum/read.php?id_forum=1&id_theme=83388#post503452посмотрел доступные на данный момент для скачивания таблицы http://www.freerainbowtables.com/ru/tables2/. Согласно этим данным можно рекомендовать пароли: Чисто цифровые: " 14 знаков...Безопасность авторизации.Thu, 26 Jan 2012 08:19:01 +0300Igorekhttp://softtime.ru/forum/read.php?id_forum=1&id_theme=83388#post503450"Однако, если пароль зашифрован md5() без соли, то вскрыть такие пароли относительно не "сложная задача, используя радужные таблицы. От пароля...Безопасность авторизации.Thu, 26 Jan 2012 07:50:25 +0300cheopshttp://softtime.ru/forum/read.php?id_forum=1&id_theme=83388#post503447" Причем пароль хэшировать md5() Поправьте, если не прав. Хранить именно хэш, а не сам пароль в базе надо на...Безопасность авторизации.Thu, 26 Jan 2012 07:22:25 +0300Igorekhttp://softtime.ru/forum/read.php?id_forum=1&id_theme=83388#post503445Да, только лучше count(id_user) вместо просто id_user. Переменные $_COOKIE и $_COOKIE обязательно обработать на предмет SQL-инъекции. Если будут ломать, начнут...Безопасность авторизации.Thu, 26 Jan 2012 07:17:13 +0300cheopshttp://softtime.ru/forum/read.php?id_forum=1&id_theme=83388#post503444"" При аутентификации хэшировать введенный пароль и сравнивать его с хэшем в базе данных. "У меня пароль в БД зашифрован...Безопасность авторизации.Thu, 26 Jan 2012 07:14:19 +0300cheopshttp://softtime.ru/forum/read.php?id_forum=1&id_theme=83388#post503414И при авторизации тогда проверка типа"? if (!isset($_SESSION)){ if (isset($_COOKIE) && isset($_COOKIE)){ if (mysql_num_rows($id_user = mysql_query("SELECT `id_user` FROM `users` WHERE...Безопасность авторизации.Wed, 25 Jan 2012 23:39:45 +0300Sfinkshttp://softtime.ru/forum/read.php?id_forum=1&id_theme=83388#post503413" При аутентификации хэшировать введенный пароль и сравнивать его с хэшем в базе данных. У меня пароль в БД зашифрован...Безопасность авторизации.Wed, 25 Jan 2012 23:33:06 +0300Sfinkshttp://softtime.ru/forum/read.php?id_forum=1&id_theme=83388#post503410Возможно вас также заинтересует следующее приложение http://softtime.ru/info/authorization.php - вот оно нами часто используется, в отличие от схемы, используемой на форуме....Безопасность авторизации.Wed, 25 Jan 2012 23:05:07 +0300cheopshttp://softtime.ru/forum/read.php?id_forum=1&id_theme=83388#post503408У нас тут не по делу организовано было и мы от этой схемы уходим (ну насколько это возможно для базы...Безопасность авторизации.Wed, 25 Jan 2012 23:03:28 +0300cheopshttp://softtime.ru/forum/read.php?id_forum=1&id_theme=83388#post503407Не буду начинать новую тему, т.к. тут тем про авторизацию уже тышша.... И именно поэтому не возможно разобраться, как будет...Безопасность авторизации.Wed, 25 Jan 2012 22:47:34 +0300Sfinkshttp://softtime.ru/forum/read.php?id_forum=1&id_theme=83388#post496002в phpinfo() "Local Value" у session.gc_maxlifetime меняется.Безопасность авторизации.Mon, 14 Nov 2011 21:32:33 +0300Sfinkshttp://softtime.ru/forum/read.php?id_forum=1&id_theme=83388#post496000Может сервер не принимает (запрещено) изменений, которые устанавливаются при помощи ini_set().Безопасность авторизации.Mon, 14 Nov 2011 21:13:16 +0300cheopshttp://softtime.ru/forum/read.php?id_forum=1&id_theme=83388#post495998Кстати да! Я вроде как устанавливаю ini_set("session.gc_maxlifetime","2592000"); // месяц а сессия все-равно умирает. Почему?Безопасность авторизации.Mon, 14 Nov 2011 20:05:47 +0300Sfinkshttp://softtime.ru/forum/read.php?id_forum=1&id_theme=83388#post495996Слабых мест нет, но если вы захотите, чтобы сайт помнил пользователя и ему не приходилось бы авторизовываться каждый раз, вам...Безопасность авторизации.Mon, 14 Nov 2011 19:47:35 +0300cheopshttp://softtime.ru/forum/read.php?id_forum=1&id_theme=83388#post495994Начитался тут вариантов авторизации..... Куча md5-хешей у всех, вложенные хеши, ключи секретные и т.п...... Навеяло сомнения: "А безопасна ли моя...Безопасность авторизации.Mon, 14 Nov 2011 19:36:57 +0300Sfinks