Учебный скрипт авторизации

[Фанат]

Ну, с $_SERVER['REQUEST_URI'] действительно могут быть проблемы.
но и совсем без него в наше время нельзя.

use_only_cookies - мысль правильная, но с ней так же как и с
REQUEST_URI - не на всякий случай подойдет.

-~{}~ 26.02.08 11:10:

По поводу проверок - есть контроль IP адреса.
и непонятно, чем тебе не угодила регенерация id

 

[berkut]

а совсем без $_SERVER['REQUEST_URI'] и не надо. надо только делать необходимые проверки и всё. use_only_cookies - где оно не подойдёт? если юзер сам себе злобный буратино и отрубил куки - так и фиг с ним. он может и сид из урл вырезать.
крупнейшие сервисы, гугл, яндекс почта не таскают сид по страницам - и нечего.
а регенерация в принципе да, устраняет проблему

 

[Фанат]

ладно, сделаем рекомендацию использовать use_only_cookies, а остальное оставим, как есть

вообще, вот прикручу комментарии - туда это все можно будет написать

 

[berkut]

во тёрки развели... оказывается всё это есть в мануале
ыы) а проверка ip не надёжная штука. у нас в сети локальной 3 внешних ip и туча народу

 

[fixxxer]

в некоторых локальных сетях я встречал веселые прокси-сервера, которые кэшируют вообще все подряд не глядя на заголовки

 

[Духовность™]

Скажите, а почему все используют именно сессии при успешной авторизации? Почему бы не использовать просто куку с md5-хешем логин+пароль? Или это для СУБД накладно?

 

[Akick]

Автор оригинала: *****
ладно, сделаем рекомендацию использовать use_only_cookies, а остальное оставим, как есть

Тогда зачем вообще сессию? Только чтобы тягать что-то со скрипта в скрипт?
Лучше куку тогда. Можно будет играться со всеменем жизни авторизации без проблем.

И IP, imho, не имеет смысла держать. Все у кого динамический адрес идут лесом в этом случае...

 

[ys]

triumvirat
>Скажите, а почему все используют именно сессии при успешной авторизации?

Это же пример.

Еще видел такое чудо после авторизации, как ссылка вида:
_http://some.site.com/<тут хеш, похожий на md5>.php

и тоже работает, причем роль аля sid/uid исполняет или временный php скрипт (который прибивается при logout или, когда заэкспарился) или через реврайт.

 

[Фанат]

Akick, а ты много видел этих "всех" с "динамическим IP"?
По поводу того, для чего нужны сессии, а для чего куки - оставь свое мнение при себе. Пока не подрастешь.

 

[letsgo]

А вывод ошибки, в случае, неправильного ввода пароля, как реально пристроить сюда?

 

[Beavis]

[m]else[/m]

 

[letsgo]

else я использовал, но получается, что сообщение о неверности пароля выводится вместо формы , а надо бы, чтобы вместе с формой

 

[Фанат]

а ты не там использовал else
надо при проверке пароля. если он неверный, то или писать в сессию, или к локейшену добавлять какую-нибудь переменную.

 

[letsgo]

я так понимаю, что этот скрипт вставить в дизайн занятие достаточно проблематичное?
Что-то намучался уже

 

[Фанат]

ну, его в дизайн вставить сложно.
а дизайн в него - элементарно.