Пишу систему на PHP, в ней есть административная часть, личный кабинет пользователя и секция общего доступа. Как правильно организовать запароленный доступ в первые две части?
Почитал про файл .htpasswd и не впечатлился, т.к. заполнять его из PHP не вполне понятно как.
Очевидное решение — завести в mySQL таблицу USERS с полями LOGIN и PASSWORD и сохранять их в $_SESSION между HTTP-запросами. Сколь ни кручу в голове этот вариант, никак не могу найти в нем подводные камни. Но он смущает своей очевидностью: что-то тут должно быть не так.
Здравствуйте, sushko, Вы писали:
S>Очевидное решение — завести в mySQL таблицу USERS с полями LOGIN и PASSWORD и сохранять их в $_SESSION между HTTP-запросами. Сколь ни кручу в голове этот вариант, никак не могу найти в нем подводные камни. Но он смущает своей очевидностью: что-то тут должно быть не так.
S>А как правильно такие вещи делать?
Обычно не хранят логин-пароль а создают новую сессию при логине и в ней сохраняют имя/роли/что-еще-надо которые и проверяют при каждом запросе. Вообще обычно это все в либах самому не надо такие велосипеды городить при всей простоте надо еще про всякие CORS и CSRF не забывать.
WBR, Igor Evgrafov
Re[2]: [php] как правильно организовать парольный доступ в админку
Здравствуйте, GarryIV, Вы писали:
GIV>надо еще про всякие CORS и CSRF не забывать.
Ну я совсем новичок в этой области и темой безопасности не владею, так что ею надо будет, наверное, заняться отдельно и серьезно. Куплю книжку какую-нибудь — и вперед.
S>Почитал про файл .htpasswd и не впечатлился, т.к. заполнять его из PHP не вполне понятно как.
это легко гуглится, примеров полно, есть видео в ютубах, заполняется определенным образом как текстовый файл...
но если юзеров планируется не 1к а 100к то кажется будет тормозить...