Ставить куку с именем admin или is_admin я думаю даже обсуждать не стоит. Ставить куку user_id для идентификации пользователя тоже как то стрёмно. Как вообще правильно защититься от атак с подбором значения кук ? Ведь кто угодно может слать запрос с кукой user_id = 1, а у этого пользователя админ права например.
Чем тебе сессионные php-шные куки не угодили? Их хрен подберешь. А вся инфа по пользователю пусть хранится на сервере в сессии. Включая его права, uder_id и так далее по списку.
@machetero, это же обсуждалось много раз. достаточно кроме user_id поместить в куку какую-то дополнительную информацию, которую твой скрипт может проверить и убедиться, что кука не поддельная. например этот форум держит куку с именем xf_user. у меня там записано "23761,3406d4236f7550fac8e82f2e6ca241a20e523f68" где 23761 это скорее всего мой user_id, а за ним идет какая-о "подпись". форум проверяет подпись и принимает значение либо нет. подобное значение не менее секьюрно, чем PHPSESSID кто сумеет сп*здить одно, спи*дит и другое. [ интересно сколько человек попытается сейчас воспользоваться моей кукой ]
Я помню ты как то недавно сам писал, что сессии это чтоб по страничкам ходить и инфу таскать. А авторизовывать надо куками. Мне сессии не нравятся только одной причиной , они быстро удаляются и придётся опять логиниться. --- Добавлено --- вообщем храним захардкоженый my_signature и добавляем его хэш к каждой куке. так я понимаю ? при приёме куки отделяем юзерайди от хэша, и сверяем с хэшем нашей строки. всё понял спасибо что объяснил механизм с подписью
А ты, небось, не будь дураком, пару буковок левых подкинул, а то и весь хэш Все очень плохо. Это не я так сказал. Это ты так понял. Там речь шла, небось о том, что не надо делать сессии со сроком годности в 300 лет, чтобы сэмитировать галочку "Запомнить меня", да? И как это связано с выставлением прав в куках? И с авторизацией? --- Добавлено --- У тебя удивительная способность читать не то, что написано.
@machetero, а вы решили сделать авторизацию по куке user_id = 1? Это лишь идентификатор, а нужен еще сложный ключ. Вот почитайте ТЕКСТ.
Вообщем я не могу сам разобраться как надо делать подпись. Если подпись будет статичная то достаточно посмотреть свои куки и подставлять юзерайди к этой статичной строке. Буду благодарен Fell-x27, artoodetoo или кому либо кто мне объяснит всё.
Давай определимся, для начала, что ты хочешь. Галочку "запомнить меня"? Если так, то кто тебе мешает генерить рандомную строку, писать ее в куку с флажком "http_only", что сделает ее недоступной для JS, и, параллельно сохранять ее на сервере где-нить в бд, в колонке у пользователей "last_token" какой-нибудь? И будет у каждого пользователя уникальная запоминалка. При этом сессионный файл может быть удален. Считай, что это эдакая suspended_session.