لاگین و احراز هویت

سلام. دارم یه بلاگ خبری میسازم که چنتا نقش هم داره. دوستان لطف کنید سناریوی کلی از لاگین کاربر تا عملیات مدیریتی (crud) رو تعریف کنید.
مثلا موقع لاگین کردن چه مقادیری روی کوکی ست کنم؟
بعد از لاگین چه مواردی رو رعایت کنم که مشکل امنیتی پیش نیاد؟

http://www.tonymarston.net/php-mysql...s-control.html
https://github.com/gburtini/PHP-ACL

ممنونم از شما. انگلیسیم ضعیفه خوب متوجه نشدم. من تا حدودی میتونم این الگوریتم رو بنویسم ولی توی بحث امنیت نمیدونم که به مشکل برمیخورم یا نه.

بطور مثال موقع لاگین کردن یک کوکی برای کاربر با مقادیر زیر ست میکنم:

کد:

---

'{"id":1,name":"Amir","email":"info@amir.ir","password":"123456","role":Admin}'

---

مقادیر بالا رو از جدول users میخونم و روی کوکی کاربر ست میکنم.
حالا در قسمتهای مختلف سایت از این کوکی استفاده میکنم ولی قسمتهایی که حساسه یا احتیاج به عملیات مدیریتی (crud) هست میام نقش و پسورد کاربر (از جدول users) رو با پسوردی که در کوکی ست شده مقایسه میکنم اگه اوکی بود دسترسی بهش میدم درغیر اینصورت ریدایرکت میشه "صفحه دسترسی غیر مجاز".
آیا این الگوریتم مشکل امنیتی داره؟

نقل قول:

---

نوشته اصلی توسط Gh-Moradi

ممنونم از شما. انگلیسیم ضعیفه خوب متوجه نشدم. من تا حدودی میتونم این الگوریتم رو بنویسم ولی توی بحث امنیت نمیدونم که به مشکل برمیخورم یا نه.

بطور مثال موقع لاگین کردن یک کوکی برای کاربر با مقادیر زیر ست میکنم:

کد:

---

'{"id":1,name":"Amir","email":"info@amir.ir","password":"123456","role":Admin}'

---

مقادیر بالا رو از جدول users میخونم و روی کوکی کاربر ست میکنم.
حالا در قسمتهای مختلف سایت از این کوکی استفاده میکنم ولی قسمتهایی که حساسه یا احتیاج به عملیات مدیریتی (crud) هست میام نقش و پسورد کاربر (از جدول users) رو با پسوردی که در کوکی ست شده مقایسه میکنم اگه اوکی بود دسترسی بهش میدم درغیر اینصورت ریدایرکت میشه "صفحه دسترسی غیر مجاز".
آیا این الگوریتم مشکل امنیتی داره؟

---

خیر. کارتون اشتباه هستش. نباید رمز کاربر رو درون کوکی بریزین.
باید رمز کاربر رو زمان ثبت نام تبدیل به
md5
کنین و در دیتابیس ذخیره کنین. موقع لاگین هم با متود پست رمز تایپ شده رو بگیرین و تبدیل به
md5
کنین. با اون مقدار قبلی از طریق یوزرنیم مطابقت بدید اگه باهم همسان بودن بعدش کاربر رو یک سشن نامبر براش ایجاد کنین و لاگینش کنین.

نقل قول:

---

نوشته اصلی توسط demonvictor

خیر. کارتون اشتباه هستش. نباید رمز کاربر رو درون کوکی بریزین.
باید رمز کاربر رو زمان ثبت نام تبدیل به
md5
کنین و در دیتابیس ذخیره کنین. موقع لاگین هم با متود پست رمز تایپ شده رو بگیرین و تبدیل به
md5
کنین. با اون مقدار قبلی از طریق یوزرنیم مطابقت بدید اگه باهم همسان بودن بعدش کاربر رو یک سشن نامبر براش ایجاد کنین و لاگینش کنین.

---

اون فقط یه مثال بود پسورد رو که حتما رمزگذاری میکنم. بیشتر میخوام بدونم سازکاری که مطرح کردم امن هست یا خیر؟
درضمن از کوکی استفاده میکنم. چه مقادیری میتونم روی کوکی ست کنم که مشکلی پیش نیاد؟

نقل قول:

---

نوشته اصلی توسط Gh-Moradi

اون فقط یه مثال بود پسورد رو که حتما رمزگذاری میکنم. بیشتر میخوام بدونم سازکاری که مطرح کردم امن هست یا خیر؟
درضمن از کوکی استفاده میکنم. چه مقادیری میتونم روی کوکی ست کنم که مشکلی پیش نیاد؟

---

کار شما مشکل امنیتی داره.

بهتره از فریم ورک استفاده کنین

نقل قول:

---

نوشته اصلی توسط demonvictor

کار شما مشکل امنیتی داره.

بهتره از فریم ورک استفاده کنین

---

مشکلش چیه لطفا توضیح بدید

نقل قول:

---

نوشته اصلی توسط Gh-Moradi

مشکلش چیه لطفا توضیح بدید

---

به جای کوکی از session استفاده کن .

نقل قول:

---

نوشته اصلی توسط rezaonline.net

به جای کوکی از session استفاده کن .

---

آخه نمیخوام کاربرا بعد از بستن مرورگر دوباره لاگین کنند و اذیت بشن بخاطر همین میخوام از کوکی استفاده کنم.
اگه میتونید راهنمایی کنید که مقدادیر رو به چه صورت روی کوکی ست کنم که مشکل امنیتی به حداقل برسه

از فریم ورک استفاده کنین.