|
Har WN som tidsfördriv
|
|
Reg.datum: May 2007
Inlägg: 1 014
|
|
|
Har WN som tidsfördriv
Reg.datum: May 2007
Inlägg: 1 014
|
man ska aldrig enbart använda md5 på lösenord... om du vill köra med md5 kör då md5+salt. Men helst av allt ska du komma på en egen funktion.
Allt skickas i klartext via formulär, så du borde fundera på ssl också. Att spara id i en session variabel går väl bra, men inte i klartext. Som tidigare person nämnde skulle du kunna baka ihop alla kriterier (id, namn, epost) till en sträng som du sedan SHA1+1 och sparar detta i session variablen.
Vi föredrar att skapa egna funktioner för detta, så har du kunskapen tycker jag du ska försöka göra det i alla fall.
Se sedan till att kontrollera allt som har med databasen att göra. Om man t ex loggar in ska du kontrollera vad personen skrev i formuläret. Om det handlar om PHP så ska du inte förlita dig på magic_quotes utan escapa allt själv också, samt limitera accessen till databasen och kör helst PDO.
Med limitera accessen till databasen menar jag att du ska bara ha precis så många databas accesser som krävs för att sidan ska fungera, och se till att begränsa all databaspåverkan som användare ska ha (Ändra profil, lösenord osv osv).
EDIT* Såg precis att du hade skrivit ASP.NET... jag är inte insatt i det överhuvudtaget...
|