Авторизация в PHP

[2nd floor]

AXX, ты разбираешься в ПХП. Как можно сделать толковую авторизацию типа как в этом форуме? логин-пароль хранить в базе (после md5() пароль, разумеется). Передавать из формы post'ом. Сессии? Как сделано на форуме? Можно ли это взломать?

[AXX]

2nd floor

AXX, ты разбираешься в ПХП.

Ты мне льстишь. Я пхп не разбираюсь. Точнее, когда появляется вопрос я в нем конкретно и разбираюсь, а так чтобы знать весь пхп... Я же не программист, хотя иногда думается, что зря не пошел, особенно, глядя на некоторых программистов.

Как сделано на форуме?

Я посмотрю, если разберусь объясню.

Можно ли это взломать?

взломать можно что угодно. Но инвижин отличается стойкостью ктакого рода вхломам, по крайней мере так было раньше. Потом вроде как нашли еще дыры. Щас не в курсе.

ЗЫ: Ты бы у Strori спросил, он вроде что-то ваял на пхп.

[Strori]

А что понимается под "толковой" авторизацией? Я с таким вопросом не сталкивался - но не думаю что сложно.  

[AXX]

Я так понимаю, что кто попало под любым именем не мог авторизоваться, были баны и т.п....
Кстати, посмотрел как авторизуются на моем форуме... могу выложить файлик, там ни сложно, ни легко - разобраться можно, но не за 5 минут.

[2nd floor]

Дык со всем разобраться можно : ) Вот сколько времени на это уйдет...
Авторизацию саму по себе я сделал. А вот как ограничить доступ извне к страницам, которые не должны видеть неавторизованные?

Вот как сделано у меня. Критикуйте.

Если логин-пароль совпадают с тем, что хранится в базе, то создаем какую-нибудь переменную, например $userid, храним, скажем, в ней номер пользователя, или (вернее "и" в другой его имя - чтоб часто к базе не обращаться).

На странице: если существует $userid, значит он прописан в сессии, значит авторизация уже прошла, то показываем то, что можно видеть, иначе не показываем.

Этот трюк взламывается: дописываем в адресе &userid=25 - и вуаля!

Усложняем. В сессии храним например логин пользователя. Теперь злоумышленнику надо знать кроме номера пользователя еще и его логин. Это все проверяется по базе. Взламывается аналогично: &userid=25&userlogin=vasya + перебор, чтобы узнать номер. Поэтому на сайте "Знака" авторизацию и убрал (я там хранил имя пользователя). Надеюсь никто не успел воспользоваться : )

Можно еще хранить в сессии и пароль, а потом это все пробивать по базе - тогда взломщику надо будет знать еще и пароль (в каком-то фильме грили, что 99% паролей - это "sex" "secret" и "god" : ) Но тогда он сможет просто войти и как пользователь!

Вопрос вот в чем - надежно-ли хранить в переменных сессии пароль? Можно их как-нибудь несанкционированно прочитать?