1234
返回列表 發帖
ioptional

Rank: 3Rank: 3Rank: 3
21# 跳轉到 »
發表於 2008-11-18 19:05 | 只看該作者
原帖由 thinkpanda 於 2008-11-18 17:31 發表


1. password 完全唔應該放係session. 要記住有無正確login, 只需一個boolean flag.
2. password 唔應該不加密咁放係 database. Hashing 係一種處理方法. 用 salt + Hash(salt+password) 儲係database, salt 係一個任意隨機數.

Password 放 Session 無問題, 不過係要 encryt 左先 (e.g MD5)

TOP

thinkpanda

Rank: 3Rank: 3Rank: 3
22#
發表於 2008-11-18 19:19 | 只看該作者
原帖由 ioptional 於 2008-11-18 19:05 發表

Password 放 Session 無問題, 不過係要 encryt 左先 (e.g MD5)


我諗唔到有乜野動作要將password 放係session 先做到....

TOP

thinkpanda

Rank: 3Rank: 3Rank: 3
23#
發表於 2008-11-18 19:22 | 只看該作者
原帖由 C.Andyclp 於 2008-11-18 17:34 發表


簡單黎黎講,即係註冊時只記ID就得...?
至於pw就向SQL查詢有無呢個就得?!


你既意思係"登入時", 而唔係"註冊時"? 係,只需記ID 就得
需要check password 時先係database 拎個hash 左既password 出黎,用收番黎既password 加埋 database 入面既hash 既 salt 做一次hash , 然後比較結果。

TOP

C.Andyclp

24#
發表於 2008-11-18 20:14 | 只看該作者
提示: 作者被禁止或刪除 內容自動屏蔽

TOP

allenkwc

Rank: 2Rank: 2
25#
發表於 2008-11-18 20:34 | 只看該作者
isset(一舊野 )  && isset(另一舊野)

TOP

thinkpanda

Rank: 3Rank: 3Rank: 3
26#
發表於 2008-11-18 22:38 | 只看該作者
原帖由 C.Andyclp 於 2008-11-18 20:14 發表


比較結果段碼可唔可以寫黎參考下...?!
即查詢資料庫果度...


大概係咁。

salt . md5(password_from_browser . salt) == hashed_password_field_from_db

TOP

C.Andyclp

27#
發表於 2008-11-19 06:46 | 只看該作者
提示: 作者被禁止或刪除 內容自動屏蔽

TOP

thinkpanda

Rank: 3Rank: 3Rank: 3
28#
發表於 2008-11-19 09:52 | 只看該作者
原帖由 C.Andyclp 於 2008-11-19 06:46 發表


咁得意...有些少不像php咁...不過又學到野,thz


關乜鬼PHP 事,用乜野language 都係咁。

TOP

laputafish

Rank: 3Rank: 3Rank: 3
29#
發表於 2008-11-19 10:23 | 只看該作者
原帖由 C.Andyclp 於 2008-11-19 06:46 發表


咁得意...有些少不像php咁...不過又學到野,thz

如果係跟書, 好多就咁比較 password 就算. 但用  md5 的確安全好多.

TOP

不明人士

Rank: 3Rank: 3Rank: 3
30#
發表於 2008-11-19 18:28 | 只看該作者
加埋MD5仲有好處,如果個DB比人HACK左,個HACKER都冇咁大可能睇到啲密碼,變相為用戶多一重保障

TOP

1234
返回列表