не реализации схема базы: users id - primary_key ... user_show_name - отображаемое на сайте имя, напрм, Андреев user_hash - md5-хеш вида (loginwd) - ((еслественно, логин/пароль при этом не могут содержать двоеточий)) ... далее, при авторизации 1) создается сессия 2) создается cookie 3) в кук пишется комбинация: md5(md5(time)).SID) 4) в сессию пишется md5(IP) с которого доступ и md5(time) 5) в базу заносится вся эта информация, без md5=) что можно оптимизировать?=)
DarkElf если так перестраховываешься, не думал ли вместо всего этого использовать SSL? А все эти MD5 не спасут от SQL Injection...
Davil 1) нет выделенного ip, да и не требуется особо. 2) мм а проверку регулярками всех входящих значений + добавление в запрос после того, как Я его закончил, "--" кто-то отменял? 3) а защита не от себя самого, а от хранения в доступных местах нешифрованных переменных, либо переменных, вид которых может подать идею об алгоритме получения.. 4) а вот в сессиях md5 пожалуй действительно лишние Davil, цель md5 - не защита от инъекций..
Davil для чего md5 - см.пункт 3. методы защиты от инъекций - пункт 2. немножко разные цели=) и потом, наверное, не совсем ясно выразился, я о методах хранения данных авторизации в неподконтрольных скриптам местах говорил.. а защита от инъекций - немного другой участок задач=)