Авторизация. Сесии.

[Sky_Flex]

Авторизация. Сесии.

Всем Доброй ночи!

Вопрос таков: ДЛя авторизации админа после ввода пароля и логина проверки их по БД (в БД пасворд хеш md5) в сесию заношу логин - и хеш пасворда - и при каждом обращении к любой страничке админки проверяю их по БД.

наскольно это безопастно.

наишите какую модель авторизации Вы используете.

 

[_RVK_]

Sky_Flex
вполне досаточно завести сессию и просто проверять факт её наличия.

-~{}~ 12.01.06 03:43:

конечно если ты пишешь систему перевода государственного долга США на счета кредиторов, тогда наверное стоит подумать о более изощренной защите.

 

[Sky_Flex]

факт наличия? т.е. я вот не админ - и предпожу что фактом наличия будет $autch = 1; и что? через сайт (правда незнаю как именно, вроде бы прямых уязвимостей и дыр в моих скриптах нет. все фильтрую и проверяю.) установлю в свою сесию (а у юзеров тоже своя сесия есть.) эту переменную - и вуаля - я админ?

 

[_RVK_]

Sky_Flex
Правда? анука http://rvk.phpclub.net/?module=Admin&action=Index там условие if (isset($_SESSION['login']))....

 

[Sky_Flex]

нет это понятно. я же говорю - если юзверь(хакер) сможет себе занести в сесию эту переменую. Или имееш ввиду это нереально?

т.е. получить доступ к чужой сесии ?

фуф... это хорошо.... а я боялся.

 

[Dreammaker]

_RVK_,
оффтоп: не удержался заглянул, а зачем две формы для входа?

 

[_RVK_]

Sky_Flex

Или имееш ввиду это нереально?

т.е. получить доступ к чужой сесии

Все возможно. Но не все так просто. Потому такой защиты вполне достаточно в большенстве случаев.
Dreammaker

оффтоп: не удержался заглянул, а зачем две формы для входа?

Ну, сначала была одна, потом появилась другая....