Tweet
Hallo zusammen ,
da ich mich net mit Sessions anfreunden konnte , habe ich mir gedanken über ein Datenbank basierendes Loginsystem ohne Sessions gemacht , und diese Gedanken auch schon in die Tat umgesetzt. Nun würde ich aber gerne von euch wissen wie es da mit der Sicherheit steht, um es auch für Kommerzielle Zwecke nutzen zu können.
Mache erstmal den Aufbau klar:
Tabelle registry:
id|name|pass|ip|rechte
Tabelle user:
id|user|pass|mail|rechte|sonstige daten...
Dann zur vorgehensweise:
zuerst wird überprüft ob ein User,in der tabelle 'user', mit den zuvor eingegebenen Daten überhaupt exestiert.
Falls die Daten stimmen , wird überprüft ob der User noch von seinem letzen Besuch in der registry eingetragen ist. Falls es einen Eintrag geben sollte , wird dieser Gelöscht.
Nach diesem Vorgang wird der User erneut in die registry eingetragen.
Das ist dann der komplette Loginvorgang... Auf den zu schützenden seiten wird dann immer überpfüft ob
- der user in der registry eingetragen ist
- der user überhaupt exestiert
- der user die nötigen rechte hat um die Seite zu sehen
- die in der registry eingetragene IP der aktuellen IP des users entspricht (um fremdmissbrauch zu vermeiden)
Hoffe ihr habt diese Erläuterung verstanden.
Und nun eure Sicherheitsbedenken bitte
.
Diggicell
da ich mich net mit Sessions anfreunden konnte , habe ich mir gedanken über ein Datenbank basierendes Loginsystem ohne Sessions gemacht , und diese Gedanken auch schon in die Tat umgesetzt. Nun würde ich aber gerne von euch wissen wie es da mit der Sicherheit steht, um es auch für Kommerzielle Zwecke nutzen zu können.
Mache erstmal den Aufbau klar:
Tabelle registry:
id|name|pass|ip|rechte
Tabelle user:
id|user|pass|mail|rechte|sonstige daten...
Dann zur vorgehensweise:
zuerst wird überprüft ob ein User,in der tabelle 'user', mit den zuvor eingegebenen Daten überhaupt exestiert.
Falls die Daten stimmen , wird überprüft ob der User noch von seinem letzen Besuch in der registry eingetragen ist. Falls es einen Eintrag geben sollte , wird dieser Gelöscht.
Nach diesem Vorgang wird der User erneut in die registry eingetragen.
Das ist dann der komplette Loginvorgang... Auf den zu schützenden seiten wird dann immer überpfüft ob
- der user in der registry eingetragen ist
- der user überhaupt exestiert
- der user die nötigen rechte hat um die Seite zu sehen
- die in der registry eingetragene IP der aktuellen IP des users entspricht (um fremdmissbrauch zu vermeiden)
Hoffe ihr habt diese Erläuterung verstanden.
Und nun eure Sicherheitsbedenken bitte
.Diggicell
denn du brauchst nur selber eine pseudo-session-id erzeugen und diese in der url mitschleifen.
Kommentar