Совет Уязвимость системы авторизации

генерить рандомную сессию при регистрации - самый простой способ

 

Патч для каждого движка?

 

PHP:

<?
function crypt_session($l,$p,$s){
/*
@string login
@string password,
@string salt
*/
return strtoupper(md5($l.$p.$s.rand(1,10000)));
}
?>

 

и синтаксическая ошибка....

 

исправил

 

Что вы придумываете? Вы хоть регулярки писать умеете, чтобы говорить, что она не работает?("/^[a-zA-Z0-9_-]+$/")
Эта регулярка озночает, что должно быть не менее одного символа(!) в диапозоне от a до z разного регистра, от нуля до девяти, _ и -, хотя, если я не ошибаюсь, в сессии _ и - не используются. Если у вас кривые руки и вы не можете нормально либы поставить, то это ваши проблемы.

 

Можно поподробнее?я нуб в этом деле

 

Люди, вы чего? Совсем не знаете синтаксиса SQL и, как работает Mysql?
Вот делаем это в бд

Код:

ALTER TABLE  `таблица пользователей`
DROP session
ADD  `session` varchar(255) DEFAULT 'рандомное число'

Где таблица пользователей меняем на свою.
Где рандомное число меняем на своё левое, число или ещё лучше заюзайте генератор паролей и пихните туда рандомный пароль из 15 символов. С шансом 99% никто не будет перебирать пароль из 15 символом.

Session колонка с сессией, лучше можно изменить на свою. Так как я не знаю, какая у вас колонка с сессиями(Кэп)

Где рандомное число будет выставляться вместо 0, что-то другое. Такие вот дела. И не надо утруждать себя изобретением костылей и велосипедов.

А теперь представьте, что лучше фиксить каждую регу у нужной вам CMS, или оставить это дело mysql, который каждый раз будет создавать запись, где будет рандомное число, которое вы записали.

 

или

Код:

... DEFAULT MD5(RAND() + NOW());

 

Можно поподробнее?я нуб в этом деле

 

сделай лучше как выше было написано, где что то указано по дефолту

 

Зачем делать велосипед из костылей, когда уже существует нормальный велосипед. И этот велосипед одна из немаловажных функций MySQL

 

mysql_escape_string? pdo? MySQLi?

 

Мне лень объяснять, чем мой метод проще вашего. И мне вообще лень обращать внимание на ваше выкрутасы.

 

где же ваш метод? лол
вы только сказали, что он существует в наборе функций mysql.
то есть, функция MySQL == ваш метод? ляп.
и насчет "ваше выкрутасы".
уязвимость авторизации это не кроет.
я лишь написал жалкие попытки разработчиков php или же mysql убрать инъекцию/защититься от батников с читерскими клиентами.

 

Ты заметил Слова после вопроса?

 

Всё стёрлось, а писать заново и объяснять мне лень. Не нравиться мой метод используйте другой, я же не обсираю вас, а вы обсираете, тем более, кто вы такие, чтоб общаться со мной на ты, вы просто встречные на бесконечных просторах интернета, а пишите так, как будто знаете меня сотни лет. Мне лень отвечать, поэтому на все дальнейшие вопросы, ответы и т.д я отвечать не буду, так как для меня это не имеет значение. Под методом я имел ввиду не метод, как в языках программирования, а подразумевал слово "способ". А вы по своей ошибке неправильно понял начали меня уже обсирать, унижать, выставлять существом, которое хоть и предложило самый простой способ, но всё равно это хуже. Как я сказал выше дальнейшие ваши ответы для меня не несут смысла, так как вряд ли вы предложите сотрудничество, или что-то, что принесло выгоду нам обоим.(Ничего личного)

 

а вы собственно, java кодер?
или кто?
быть может, найдем выгоду.