Secure login script, med ip og session og evt cookie, hvor?

Det må også godt kunne huske brugeren.

Prøv at kigge på: http://sukos.dk/php/login/

Jeg synes ikke det er så meget jeg kan bruge. Det virker ikke som noget der er særlig sikkert.

Kan det passe at en session kun bliver sat nar man trykker på en knap.
Jeg har prøver at sætte en session ud fra hvilke kriterier der er udfyldt, men de bliver ikke sat.
Men kan godt få det til at virke hvis jeg bare sætter en knap ind. :o(

nej man kan godt bare sætte den i sin kode

hvor sikkert skal det være??

Du kan ikke lave noget der 100% sikkert, men sukos's script vil kunne beskyte dig mod de såkaldte "scriptkiddies".

elers kig lidt på: http://www.devarticles.com/art/1/485

Jeg tænkte som et script som tjekker bruger ip og logger den og så det kun er den bruger der kan bruge den session der bliver sat. Alt data skal så krypteres evt med MD5 eller noget helt andet. Når jeg så har et lækkert login script, vil jeg prøve en sætte noget https op på min apache server. Så kan det vel næsten ikke blive mere sikkert.
Så sikkert skal det være.

hvad er det for noget sygt noget du skal lave?

evt. brug .htaccess i forbindelse med sessions og php

øhhh - hvad vil du gøre ved dem der ikke har fast IP-adr ???

Php kan i mange tilfælle finde den locale ip gennem proxy, men ellers så er det her cookien skal komme ind i billedet.
Nå men hvis der ikke er nogen der kender noget script eller hjælp, må jeg jo selv i gang fra bunden.

den lokale IP????

og hvad hvis cookie er slået fra???

Jeg prøver ikke at være negativ - blot ridse et par problemer op

hvis du sidder bag en firewall eller proxy server med en lokal ip (10.0.0.34 eller 192.168.0.36) Så kan php fange den også næsten hver gang. Men hvis ikke men vi jo ligge en cookie på maskinen og hvis man ikke kan det må man logge sig ind hver gang og kan derfor ikke bruge auto login.

men er der ikke mange virksomheder - f.eks hvor der måske arbejder 500 medarbejdere men der har måske kun 3-4 IP's

Jo det er der. Men så kunne man evt fange deres hostname eller både den fælles ip og den interne lokale ip.

Man skal jo også kun bruge deres ip eller ip'er så der ikke er en anden der kan snife ens session og dermed bruge hans login. Sådan at man låser en eller flere ip til en session. Cookie bruger vi kun til auto login.

jeg holder mig fra sessions og bruger cookies på flg. måde:

Prioritér cookies fremfor IP!


// Lav dit eget "sessionid":
$sid = md5($_SERVER['REMOTE_ADDR'].microtime());

$iphost = $_SERVER['REMOTE_ADDR']." @ ".gethostbyaddr($_SERVER['REMOTE_ADDR']);

// Hvis cookies er muligt:
setcookie ("brugernavn", "$brugernavnet", time()+31536000, " ");
setcookie ("kodeord", "md5($kodeordet)", time()+31536000, " ");
setcookie ("id", "$sid", time()+31536000, " ");


Brug $iphost, hvis cookies ikke er muligt.
Sørg evt. for at kun én med samme ip kan bruge systemet (det er ellers sjældent at flere personer har samme både ip og host).

Eller...
Fortæl folk at der kræves cookies for at logge ind.

hmmm lyder spændene... et må jeg lege lidt med.

Har du evt et mere komplet login script jeg må få ? Mvh Jesper

ikke rigtigt. jeg har et kæmpe script som tar lang tid at skrælle ned til det du ska bruge. og det er lidt følsomt :) men jeg kan hjælpe dig på vej.