|
|
|
Хранить пароли в куках - полный сакс...
Хотя и IP хранить в куке по моему незачем...
Если авторизация прошла - генеришь сессионный случайный код, пишешь в базу юзеру и в куку. Т.е. у юзера в куках его имя и его сессионный ключ.
На любой страничке ты можешь проверить валидность этих данных. При этом никакой персональной информации в куках держать не стоит и тем более не стоит от нее отталкиваться при каких-либо action. Если этот юзер что-то хочет удалить/добавить - проверяй заново (по имени/сессии) кто это, какие у него права, и только после этого или посылай его далеко или давай сделать что надо. Можешь так-же генерить дополнительную инфу, чтобы кракерам просто не было, но не ориентируйся по ней. Например: юзер получил доступ к форуму. Получилось, что он администратор в этом форуме. Ты повесил имя/сессионный ключ в куки и даешь ему кнопки (только) для управлением форума. Он захотел поредактировать, выбрал сообщение. Ты в формочку для редактирования написал id мессаги, id форума, ещё что-нить... Но например, в твоем форуме id мессаги уникально идентифицирует, В КАКОМ ФОРУМЕ она живет. И вот после постинга ты по id мессаги берешь id форума, по id форума, имени и сессионного ключа из куки берешь права его на форум и решаешь - не гад-ли он :)
Согласен, это все нужно далеко не всегда, но если делать нормально, то делать... А может у меня просто паранойя.
|