Gestire utenti

[marcomg]

Avrei bisogno di gestire il login egli utenti. Non mi interessa che gestisca il livello degli utenti (amministratore o no).
Il fatto è che non so come fare una cosa semplice ma sicura.
Gli utenti sono memorizzati in un database mysql.
Se conoscete qualche cosa di già pronto e ben commentato...
Grazie 1000

 

[valient13]

Leggi questa guida:
https://www.mrw.it/php/articoli/php-oop-creare-sistema-registrazione-autenticazione-utenti_1290.html

 

[marcomg]

Ho dato uno sguardo al codice. Ma non è pericoloso non utilizzare mysql_real_escape_string ?
Non c'è rischio di ignizione di codice sql?

 

[valient13]

si è pericoloso, potresti metterci:

mysql_real_escape_string

converte i tag e i caratteri speciali:

htmlspecialchars()

elimina i codici html e php:

strip_tags()

strip_tags dispone di un parametro opzionale che permette di specificare eventuali tag consentiti:

$var=strip_tags($_POST['nome_utente'],"<i>,</i>");

 

[marcomg]

Ok, grazie per la dritta. Ho deciso di utilizzare solo l'escape delle stringe con mysql.
L'altra funzione la userò per il form di testo...
Comunque non è riduttivo controllare la sessione solo guardando se è settata la variabile $_SESSION['login'] ?
Uno potrebbe anche falsificare i cookies ...

Non mi sembra sicuro... Oppure sono solo troppo boh. Secondo voi è sicuro?

 

[Nefyt]

Usa semplicemente:

addslashes(stripslashes($var))

per coprire le variabili a rischio di sql inject

e

htmlspecialchars($var)

per coprire le variabili dagli script(js) e i codici html

 

[marcomg]

Invece i cookies sono sicuri?

 

[Nefyt]

No, sono pur sempre modificabili dagli utenti, devi coprire anche quelli

 

[marcomg]

Quindi questa classe è un vero e proprio colabrodo!!