[PHP] Cookies checken met database

[mboy]

Ey ik heb een vraagje waar ik het antwoord niet op kan vinden:

Ik heb een login script gemaakt met cookies. Nu wil ik op de member page (voor de veiligheid) checken of hetgene wat mijn login.php aan cookies heeft opgeslagen (username en password) overeenkomt met wat er in de database staat. Met welke code kan ik dat voor elkaar krijgen??
Alvast bedankt

[Manuzhai]

Mag ik je er op wijzen dat het nogal onveilig is om username en password in een cookie te zetten? Zou ik niet zo doen. Ga eens met sessions werken, ofzo, dat is ws ook een stuk makkelijker.

[mboy]

Citaat:

Manuzhai schreef op 08-11-2004 @ 14:33 :
Mag ik je er op wijzen dat het nogal onveilig is om username en password in een cookie te zetten? Zou ik niet zo doen. Ga eens met sessions werken, ofzo, dat is ws ook een stuk makkelijker.

Maar met sessions blijft de user niet ingelod tot de browser wordt afgesloten. Nu heb ik gelezen over session cookies, maar moet zet je zo'n cookie? Of kan dat niet? Wat ik wel al heb gedaan is in mijn php.ini

session.cookie_lifetime = 0

verandert in:

session.cookie_lifetime = 3600

[dafelix]

zet in een DB een unieke hash met de userid (en eventueel de tijd)

sla in het cookie de id en de unieke hash op, komen ze overeen? Is hij ingelogd, anders niet.

zijn een hoop van dit soort scripts te vinden (kijk 'ns hier) en bekijk de source

hf!

[McMotion]

Citaat:

dafelix schreef op 08-11-2004 @ 17:26 :
zet in een DB een unieke hash met de userid (en eventueel de tijd)

sla in het cookie de id en de unieke hash op, komen ze overeen? Is hij ingelogd, anders niet.

zijn een hoop van dit soort scripts te vinden (kijk 'ns hier) en bekijk de source

hf!

en dan geen password erbij? dan kom je er wel erg makkelijk in

[McMotion]

Citaat:

mboy schreef op 08-11-2004 @ 16:57 :
Maar met sessions blijft de user niet ingelod tot de browser wordt afgesloten. Nu heb ik gelezen over session cookies, maar moet zet je zo'n cookie? Of kan dat niet? Wat ik wel al heb gedaan is in mijn php.ini

session.cookie_lifetime = 0

verandert in:

session.cookie_lifetime = 3600

dat zijn dus nog wel sessies, alleen zijn ze geimplementeerd d.m.v. een cookie; je hebt zelf helemaal niet met het cookie te maken... op de PHP website staat heel duidelijk hoe je met sessions moet werken... als je het zelf met een cookie wil doen dan moet je een hash van username+password opslaan als cookie en die tijdens het uitvoeren van het script vergelijken met de hash in de database (als je de username + password los in de database hebt staan.. maak er een hash van, dat is veel veiliger) op zich is dat even veilig als een session d.m.v. een cookie, alleen bij een sessie kan je een gebruiker dwingen opnieuw in te loggen, zodat de oude session ID ongeldig is

[Chimera]

Citaat:

McMotion schreef op 09-11-2004 @ 03:10 :
en dan geen password erbij? dan kom je er wel erg makkelijk in

Niet echt, daar je zowel het ID als dat random getal moet weten.

Een password raden is altijd nog makkelijker dan een md5 gecodeerde code raden

[McMotion]

Citaat:

Chimera schreef op 09-11-2004 @ 10:38 :
Niet echt, daar je zowel het ID als dat random getal moet weten.

wie heeft het over een random getal?