http://forum.vingrad.ru/articles/topic-158301.html
http://pyha.ru/articles/php/auth/
http://habrahabr.ru/blogs/php/13726/
 
это на мой взгляд самые нормальные статьи по теме регистрации и авторизации.
 
раньше делал как на хабре, вчера увидел на пыхе статью и мне она понравилась больше, за исключением нескольких моментов.
 
Какая статья правильнее и надежнее?
 
например на хабре не используют соль, но в куки добавляют не шифрованный пароль, а шифрованный набор случайных чисел.
а на винграде вообще 2 таблицы используют, таблицу с юзерами и с сессиями.
 
Я так подумал и пришел к выводу что если это все соединить то получится вот что:
 
users
id
login
password
salt
hash
 
или что-то можно убрать не делая скрипт менее безопастным?
 
Так же интересно что лучше использовать куки или сессии? и почему?
И последнее, каким образом делать разграничение доступа? и создание групп админ, модератор, пользователь...
 
думаю должна быть таблица user_group
id
name - Название группы (админ, модер, пользователь)
read - если 1, то может просматривать страницу
edit - если 1, то может редактировать страницу
и т.д.
 
а как потом я не знаю...

Кто как хочет - тот так дрочит (с) Фольклор

Делай как сам думаеш ... Я просто PHPSESSID и какбэ сессии, пасс попросту мд5 ... также лучше не парить моск) Если человек получит хеш то при желании его сейчас дико легко брутить ... CUDA (:
 
А соли, и алгоритмы разные ... ток если алгоритм там типа Чего именно такой ? Он не встречаеться часто, и взломщик не догадаеться как росшифровать ... Т.е. смысл прятать пасс только алгоритмами уникальными ибо соль уже ниактуальна (:

Главное сделать ресурс без дырок, дабы редиска не добрался до ваших хешей или кук клиентов. А какие там будут доп. навороты ... второе дело ... можно и позже прикрутить
 
"Куки или сессии" Это Вы о чём? Сравниваете стол и столб.
 
Права. Сперва стоит подумать какого рода разграничения Вам нужны, а потом уже таблицы строить.

++ умная мысля, не будет дыры - можно хоть открытые пассы)

А будет дыра - мне Ваши соли - до одного места.

"Куки или сессии" Это Вы о чём? Сравниваете стол и столб.

на хабре и винграде используются только куки, на пыхе и то и другое. Я об этом.
 

Главное сделать ресурс без дырок

и какие там дыры могут быть? экранировать символы и т.д. и все? это фигня все, "по умолчанию" все делаю. Главной дырой считаю регу и авторизацию, ибо где то давно читал что куки могут легко с компа стырить

Хехе) Молодой человек ща вкратце :
SQL Injection, PHP Injection, SiXXS, XSS Active, XSS Passive, Local File Include, Remote File Include, buffer overflow ...
 
Учитываем что все эти атаки могут выйти за грани строки запроса) т.е. и куки файлы, и логи ( ведь логи могут инклудиться ( ) а какой-то паршивец отправит специально сформированый запрос ) ... Так что не надейтесь) Учитываем что если хостинг а не сервер то могут через соседей взломать, а так же уязвимости в софте)

Смотрите в корень - там есть истина (с) Тро

т.е. можно использовать регистрацию со статьи на пыхе и без соли и жить спокойно?

Посмотрел статью на хабре. Как по мне, то всё одно сессии рано или поздно появятся в проекте. Сразу с ними и делать. Нафиг возится с лишними куками.
Если Вы принимаете вариант отсутствия дыр, то тогда мне не понятны маниакальные идеи защиты паролей.
Если боитесь воровства кук, то стоит подумать над механизмом контроля "чистоты" кук.

Имхо сессии решают ибо в них - йух влезет юзер) Куки можн юзать для "запомнить юзера" и то от безисходности) Алсо мд5 что с солью что без брутабилен - думай на алгоритмами чтоб делали длинее и чтоб пасс содержал и буквы и цифры и символы - идеально

Dr.TRO, любишь хакать?

тссссссссс .. я простой смертный (:

phpdude

Dr.TRO, любишь хакать?

эт по аватарке сразу понятно было. еще бы появляющийся номер icq

тссс ... школота любит аськи на нике) увы я не школьнег :(( А жаль :(( Троллил бы сам себя xD

пиздец