Как лучше получить пароль пользователя в скрипте

[programmer_2006]

Как лучше получить пароль пользователя в скрипте

Стоит такая задачку. У меня партнерская система к одной системе. Пользователь переходит из системы в маю партнерку. При авторизации я регистрирую пользователя у себя, затем должен произойти перенос данные пользователя. В фоне exec -ом дергается скрипт который и отвечает за перенос, а пользователь пока занимается чем то. В этом скрипте мне надо иметь логин и пароль пользователя для авторизации в системе и только затем с помощью сервисов я смогу перетянуть данные.
Как это лучше сделать. Где хранить пароль, что бы безопасность не нарушить. Пробовал стартовать сессию с id, но данных в ней нет.
Как лучше поступить?

 

[igortik]

че-то я ну совсем ничего не понял

 

[programmer_2006]

Есть один скрипт в котором пользователь прошел авторизацию и др. скрипт который нечего не знает об авторизации но должен получить пароль и логин пользователя.

 

[igortik]

сессия или куки.

стартовать сессию там, где авторизовался и задать $_SESSION['login'] = $_POST['login'] и т.д. по факту успешной авторизации.]

Далее в каждом скрипте, где нужны данные $_SESSION['login'] стартовать сессию и использовать переменную сессии

-~{}~ 01.06.09 17:26:

только время жизни сессии по-умолчанию ограничено...
его можно продлить разными способами... смотри с сторону работы с сессиями...

ну а с куками и то проще ...

 

[programmer_2006]

В том то и дело, что вариант с сессией не проходит. Передаю в скрипт id текущей сессии и стартую в скрипте сессию с тем id, поидее я должен был получить данные но сессия пустая. Мне кажется это из-за того, что скрипт запускается exec-ом. Куки не вариант так как слишком не безопасно.

 

[prolis]

1. Чужие пароли лучше никуда не передавать
2. Если передавать, то уже захешированные, они в твоей регистрационной базе есть

 

[programmer_2006]

Если бы все было так просто, хэшированные есть. Но сервису к которому я стучусь нужен нормальный пароль. Есть метод для передачи пароля в md5() но так как сервис написан на ASP.Net там совсем другой хэш и они не совпадут.

Знаю, что лучше не передавать но задача специфичная, вот и ищу вариант самого безопасного решения. Ед. вариант который пока вижу это писать данные в файл, а затем удалять файл когда скрипт отработает.

 

[Farsh]

programmer_2006
Я думаю, такое должно быть ясно описано в документации к API этой "системы".

 

[programmer_2006]

Что именно? Про хэш? Там это и написано.

 

[prolis]

1. А почему синхронным запросом к сервису не регистрироваться там сразу?
2.В чужих сессиях данные хранить как-то совсем не гарантированно. Остаётся свои временные файлы или бд, может с обратимым шифрованием.

 

[zerkms]

Передаю в скрипт id текущей сессии и стартую в скрипте сессию с тем id, поидее я должен был получить данные но сессия пустая. Мне кажется это из-за того, что скрипт запускается exec-ом.

root@honeypot /tmp # php script.php
array(8) {
  [0]=>
  string(20) "mzz_session_fixation"
  [1]=>
  string(7) "user_id"
  [2]=>
  string(28) "mzz_preferences_last_user_id"
  [3]=>
  string(8) "mzz_skin"
  [4]=>
  string(17) "mzz_i18n_language"
  [5]=>
  string(17) "mzz_i18n_timezone"
  [6]=>
  string(25) "mzz_i18n_timezone_default"
  [7]=>
  string(9) "CSRFToken"
}
root@honeypot /tmp # cat script.php
<?php
session_id('49c0c7a535560159b802cbe05a32e96a');
session_start();
var_dump(array_keys($_SESSION));

 

[programmer_2006]

странно, почему у вас работает. Может у меня, что то не настроено. Пока решил писать во временны файл с шифрованием.

 

[AmdY]

раз дёргаешь exec, почему не передать пароль параметром
exec('php script.php login password');

 

[zerkms]

странно, почему у вас работает. Может у меня, что то не настроено.

доступ к директории с файлами сессий или к самим файлам?

 

[programmer_2006]

Там все запутано. Можно конечно переделать код, и тогда не парится. Думаю, что будет быстрее.

-~{}~ 01.06.09 17:54:

возможно недостаточно прав у скрипта.

-~{}~ 01.06.09 17:59:

какие вообще есть функции обратимого шифрования?

 

[TutanXamoN]

Есть метод для передачи пароля в md5() но так как сервис написан на ASP.Net там совсем другой хэш и они не совпадут.

С каких пор md5() меняет значение в зависимости от ЯП?