Как грамотно сделать регистрацию, авторизацию и восстановление пароля?
- Автор темы FRIE
- Дата начала
FRIE
Новичок
Я не профессиональный кодер пока что =) делаю сайт и учусь на нём .
if (isset($_POST['login'])) {$login= $_POST['login'] ; if ($login == '') {unset ($login);} }
сдесь я из глобальной переменной делаю локальную и проверяю ее на пустоту, и если она пустая то удаляю ее , потомучто тупо можно не ввести логин а переменная всёравно будет создана но она будет пустая
$login = strtolower($login);
по моей задумке все логины должны быть в нижнем регистре , но это только в базе, а при выводе логина на страничке я буду первую букву в верхний регистр переводить . ИМХО так удобнее, я видел на многих сайтах так сделано, например у меня логин Frie а на каком то сайте где нету перевода в регистр я регистрируюсь как frie или FRIE потомучто некоторые комбинации с регистром заняты, и для удобства чтобы не вводить 3 различных комбинации достаточно ввести одну =) ну это моё такое мнение если у вас есть своё мнение по этому поводу - не молчите
цикл foreach знаешь? сможешь пройтись по всем пост-данным и удалить пробелы таким образом?
уже изучаю , в следующем коде будет foreach
если тебе этот способ очень понравился, это не значит что так надо делать всем) не все такие умные и способные осилить рекурсию
лучше б посоветовал что php-код надо писать до вывода HTML))
код до вывода хтмл - понятно, а если у меня инклюд в середине странички например с новостями ? что в таком случае делать ? или правило такое что как можно меньше кода в хтмл?
наличие этой функции говорит о том, что про SQL инъекции ты слышал, но на практике даже не пытался написать потенциально опасный запрос и вообще понять, как это все работает. Ты думаешь, что разработчики SQL базы такие дураки, что использование их СУБД без идиотской функции escape_inj невозможно?
я пробовал но чето не получалось , может ссылку кинете где почитать про SQL иньекции как защититься и как проверять наличие уязвимостей?
можно просто открыть любой движок и посмотреть как это там реализовано. Например dle
Может это и было бы полезно с какой то стороны, но я хочу думать своим мозгом и очень не люблю копаться в чужом коде
. Я наполовину сделал свой сайт и недели 2 назад узнал что его можно запросто хакнуть, и так как у меня на повестке разработки стояла задача сделать регистрацию авторизацию и восстановление пароля, я решил очень заморочиться и сделать это максимально безопасно. и на этом примере переписать все скрипты .
DLE не открывать. Там одни SQL Injection и маразм
судя по статьям в инете это верно, и причина этого - открытось кода. Так вот я хочу написать всё так чтобы зная открытый код невозможно было ломануть мой сайт (если это вообще реально) )))
-~{}~ 22.02.10 14:30:
if (isset($_POST['login'])) {$login= $_POST['login'] ; if ($login == '') {unset ($login);} }
сдесь я из глобальной переменной делаю локальную и проверяю ее на пустоту, и если она пустая то удаляю ее , потомучто тупо можно не ввести логин а переменная всёравно будет создана но она будет пустая
$login = strtolower($login);
по моей задумке все логины должны быть в нижнем регистре , но это только в базе, а при выводе логина на страничке я буду первую букву в верхний регистр переводить . ИМХО так удобнее, я видел на многих сайтах так сделано, например у меня логин Frie а на каком то сайте где нету перевода в регистр я регистрируюсь как frie или FRIE потомучто некоторые комбинации с регистром заняты, и для удобства чтобы не вводить 3 различных комбинации достаточно ввести одну =) ну это моё такое мнение если у вас есть своё мнение по этому поводу - не молчите
цикл foreach знаешь? сможешь пройтись по всем пост-данным и удалить пробелы таким образом?
уже изучаю , в следующем коде будет foreach
если тебе этот способ очень понравился, это не значит что так надо делать всем) не все такие умные и способные осилить рекурсию
лучше б посоветовал что php-код надо писать до вывода HTML))
код до вывода хтмл - понятно, а если у меня инклюд в середине странички например с новостями ? что в таком случае делать ? или правило такое что как можно меньше кода в хтмл?
наличие этой функции говорит о том, что про SQL инъекции ты слышал, но на практике даже не пытался написать потенциально опасный запрос и вообще понять, как это все работает. Ты думаешь, что разработчики SQL базы такие дураки, что использование их СУБД без идиотской функции escape_inj невозможно?
я пробовал но чето не получалось , может ссылку кинете где почитать про SQL иньекции как защититься и как проверять наличие уязвимостей?
можно просто открыть любой движок и посмотреть как это там реализовано. Например dle
Может это и было бы полезно с какой то стороны, но я хочу думать своим мозгом и очень не люблю копаться в чужом коде
. Я наполовину сделал свой сайт и недели 2 назад узнал что его можно запросто хакнуть, и так как у меня на повестке разработки стояла задача сделать регистрацию авторизацию и восстановление пароля, я решил очень заморочиться и сделать это максимально безопасно. и на этом примере переписать все скрипты .
DLE не открывать. Там одни SQL Injection и маразм
судя по статьям в инете это верно, и причина этого - открытось кода. Так вот я хочу написать всё так чтобы зная открытый код невозможно было ломануть мой сайт (если это вообще реально) )))
-~{}~ 22.02.10 14:30:
Давайте не будем о пиратах из DLE черт бы с ними
yok
Новичок
FRIE, привет.
Тоже сейчас буду аналогичную задачу как новичек решать.
У меня есть мысль, ты не проверяешь ни логин, ни пароль на длину, и вероятно регулярными выражениями.
Я пока только вскольз просмотрел, но вероятно это стоит сделать, и тогда отпадет необходимость unset($login)
Возможно я не прав.
Свой подход напишу позже , как чтото создам, и возможно мысли.
Тоже сейчас буду аналогичную задачу как новичек решать.
У меня есть мысль, ты не проверяешь ни логин, ни пароль на длину, и вероятно регулярными выражениями.
Я пока только вскольз просмотрел, но вероятно это стоит сделать, и тогда отпадет необходимость unset($login)
Возможно я не прав.
Свой подход напишу позже , как чтото создам, и возможно мысли.