autologin

Ahojte, potrebujem pomôcť s autologinom
môj systém bude fungovať asi tak že user sa prihlási a do tabulky sesisions sa uloží nejaké náhodne id (napr nejaký md5 hash) a potom sa tento hash uloží do cookie, a následne podľa toho bude overovať že či je user prihlásený a jeho userdata

len rozmýšľam že či to takto bude bezpečné, a ako na autologin?
či nejak že dám tým cookies napr životnosť rok alebo nejak inak...

poraďte
ďakujem

Rok je privela, standardne sa dava cca 14 dni. Pri kazdom prihlaseni sa zivotnost posunie, takze stranku niekto anvstevuje aspon raz za 2 tyzdne, heslo zadavat nemusi.

Autologin je vzdy bezpecnostne riziko, ale myslim ze nato ides dobre

takže, proste keď zaškrtne user políčko autologin, tak sa to cookies nastaví na tie 2 týždne a normálne povedzme na 2 hodiny,
a do sesision tabuľky uložím to či to je autologin 1 alebo 0 a potom vždy pri načítani sesision podľa toho predĺžim cookies?

ak posielas cez session sukromne informacie, netreba zabudnut nastavit v php.ini premennu session.use_only_cookies = On. Inak sa moze stat ze premenne session bude vidno v url adrese.

tomast7, ak nevies o com hovoris, tak sa prosim radsej vobec nevyjadruj. Niekoho kto o tom vie podobne nic ako ty mozes len dopliest.

miso: Neviem, ak niekto autologin nema, tak by som cookie vobec nevytvaral (a ak existuje,t ak by som ho mazal... pre pripad ze autologin mal a zrusil ho).

ty si riadny potlacovac iniciativy, teba by som nechcel mat za sefa:)
vychadzal som z tohto clanku:
http://www.linuxsoft.cz/article.php?id_article=642

citát z článku:
"O tom, co se ve skutečnosti stane, rozhoduje nastavení konfigurační volby session.use_only_cookies. Pokud používá server pro přenos identifikátoru session pouze cookies, nastavení session selže. Pokud ne, může nastavení jiné konfigurační volby, a sice session.use_trans_sid způsobit, že PHP přiřadí ID session do URL."

Ak som to doplietol no tak sorry...

Zrejme si si nevsimol slovicko "identifikator".

ano, ale v clanku sa dalej pise:

"Přiřazení identifikátoru session jako parametru do URL má jednu podstatnou výhodu - bude to fungovat vždy, i když budou cookies vypnuté. Má to taky jednu podstatnou nevýhodu - není to vůbec bezpečné. Jestliže je totiž ID session posláno v URL, obdržíte URL podobné tomuto: http://www.server.cz/stranka.php?parame ... PHPSESSID=[identifikátor session]. Tedy k session se může připojit kdokoli, kdo nějak zachytí její identifikátor - vůbec to nemusí být ten, kdo session spustil (!)"

Proti ukradnutiu session sa ale da zabezpecit, nie je to tazke.

Bez ohladu nato co si tam cital alebo necital a bez ohladu nato ako si nastavis php.ini, premenne zo session do url adresy nikdy nedostanes (ani v tebou citovanom clanku sa o tom nepise).
Navyse, nikoho tu nezaujima tvoja (alebo kohokolvek) iniciativa. Tu ludia davaju otazky a cakaju odpovede. Spravne odpovede, cize nie nejake dohady a uvahy.

Ak sa v niecom nevyznas, nie je to nic nenormalne, nikto nevie vsetko. Nabuduce skus zabojovat s chutou vyjadrit sa ku vsetkemu, pripadne ked uz pises svoje nepodlozene uvahy, napis k nim ze to je tvoj pocit, ale spravnostou si si nie isty.

ale ja nechcem pouzivat sesision ale chcem na to pouzit DB
a cookies

Ak ma niekto autologin vypnuty, cookies (pevne) by som nepouzival. Je to zbytocne. Len si tym skomplikujes parcu a este to je aj menej bezpecne

nechapem, sesision ($_SESISION) je nebezpečné, sesision z tabulkou v DB a cookies je nebezpečné, tak ako to teda riešiť?

Pouzivanie $_SESSION je zo vsetkych moznosti daleko najbezpecnejsie.

Pre autologin je to ale nepouzitelne (kedze session_id prehliadac zahodi v momente zatvorenia okna prehliadaca). Preto musis na autologin pouzit cookies.

len mne tu ide o toto
http://www.pcforum.sk/post-vp397034.html#397034

To sa da riesit tak ze si zmenis nastavenie a session budu ukladane do ineho adresara.

Otazne je, ci chce alebo nechces ukldat sukromne data... ak ano, tak session je stale lepsia volba ako cookie v ktorom su tie data nechranene na disku klienta

no dobre, ale povedzte mi čo je zlé keď si vytvorím tabulku v DB
kde budem povedzme mať 3 polia
sesision_id
user_id
time

a potom budem ukladať cookie s tým sesision_id a podla toho budem zisťovať o koho sa jedná

nic na tom nie je zle, len ze zbytocne vytvaras pevne cookie
ak by si to mal v session, nemusis sa starat o vymazavanie (lebo pri odhlaseni alebo zatvoreni okna obycajne chceme aby bolo prihlasenie oznacene za neplatne)