Czołem, piszę sobie pewien serwisik, taki prosty CMS. Macie jakieś rady co do logowania do panelu administratora? Nie wiem jak to ugryźć... czy przez .htaccess, czy przez bazę danych i sesje, a może użyć jakiejś gotowej biblioteki? Potrzebuję prostego i bezpiecznego rozwiązania.
0
0
Em, no napisz normalne logowanie przez sesję, broń boże żadne htaccessy.
Z czym więcej chcesz tutaj kombinować? Co miałaby ta rzekoma biblioteka robić?
0
Odwalać za mnie całą brudną robotę (skrypt logowania) i porządnie zabezpieczać :)
Ok, chyba sam napiszę. Już raz pisałem proste logowanie, ale hasła były przetrzymywane w sesji, co jest bez sensu. Jak to dobrze rozwiązać?
0
Dlaczego w ogóle trzymałeś hasła w sesji?
(pardon, na początku przeczytałem ale hasła nie były przetrzymywane w sesji, co jest bez sensu)
1
Dlaczego nie uzyjesz frameworka lub jakiegoś gotowego komponentu np: http://symfony.com/doc/current/components/security/introduction.html
2
Piszesz sobie najlepiej używając PDO i bindowania parametrów do zapytania żeby nie narażać się na SQL injection. Przy okazji hasła do bazy zapisujesz tylko jako hashe (dla każdego usera indywidualna sól). Przydałoby się też jakoś zabezpieczyć sesje, np. zapisując do bazy token wraz z ip danego usera.