parola pastrata ca $_SESSION['parola']

[alesio13]

sa presupunem ca am un site cu login. are ceva daca atunci cand userul meu se logheaza, eu ii pastrez parola (criptata cu md5) intr-o variabila de genu $_SESSION['parola'] ca sa o transmit mai departe in fiecare pagina pe care navigheaza el ? in felul asta vreau sa verific de fiecare data daca parola din sesiune corespunde cu parola din baza de date. daca nu fac verificarea asta atunci mi se pare destul de usor ca cineva sa intre pe site cu orice user vrea el. unde as putea gasi articole de genul acesta despre securitate si chestii din astea ?

pana atunci puteti sa imi raspundeti daca e vreun pericol in caz ca pastrez parola intr-o variabila . in pagina de login am pus comanda :
$_SESSION['parola'] = md5($_POST['parola']);

[andy]

[Pirahna]

[alesio13]

pai daca cineva afla cum se numeste variabila mea login atunci poate cu usurinta sa se logheze ca orice user pe siteul meu . face fisierul asta si il acceseaza

<?php
session_start();
$_SESSION['logat'] = 'Da';
$_SESSION['user'] = 'alesio13';
<a href="pagina.php">continua la pagina ta</a>';
?>

am dreptate ?

aveti cumva un exemplu de site php+mysql cu login ? macar minimul de fisiere. daca pot sa iau de undeva de pe net o arhiva moca.

[carco]

Cum draq sa continue la pagina ta? Doar nu-si pune pagina pe contul tau (in acelasi domeniu, domain.com). Sesiunile nu se transmit de la un domeniu la altul, chiar daca site-urile sunt pe aceasi masina.

[johnutz]

Ar fi interesant de citit despre .

Ar mai trebui tinut cont si de faptul ca, daca pe server mai sunt si alte conturi de hosting, si daca sesiunile sunt salvate (setarea ) in /tmp (asa e implicit), unde user-ul sub care ruleaza serverul (care este acelasi pt toate conturile de hosting) poate citi fisierele de sesiune ale ator conturi.

//offtopic
of, of, poate puteam sa ma exprim ceva ma bine; sper ca s-a inteles, scuza e ca am fost la o bauta in seara asta... deh, un Mihai..

[carco]