تاپيك هايي كه تو اين فروم در رابطه با اين موضوع بحث كردند خيلي بهم ريخته و ناكامل هستند. دلم مي خواد در اين تاپيك بحث registring و ورود به سايت و اعتبار سنجي كاربر به كلي تموم بشه.
آکوستیک ، فوم شانه تخم مرغی، صداگیر ماینر ، یونولیت
دستگاه جوجه کشی حرفه ای
فروش آنلاین لباس کودک
خرید فالوور ایرانی
خرید فالوور اینستاگرام
خرید ممبر تلگرام
[ + افزودن آگهی متنی جدید ]
عضوگيري و اعتبارسنجي كاربر در Php (بحث كامل)
تاپيك هايي كه تو اين فروم در رابطه با اين موضوع بحث كردند خيلي بهم ريخته و ناكامل هستند. دلم مي خواد در اين تاپيك بحث registring و ورود به سايت و اعتبار سنجي كاربر به كلي تموم بشه.
Last edited by MATRIX reloaded; 25-05-2008 at 01:12.
براي شروع:
در كليه كد ها از ديتابيس testDB و از جدول testUSER استفاده مي كنيم.
از كليه دوستاني كه در اين مورد وارد هستند در اين بحث شركت كنند تا هم من و هم دوستاني كه در اين رابطه مشكل دارند بتونند به جواب برسند.
پيشنهاد : بهتره در اعتبار سنجي كلمه عبور از تابع md5() و توابع قوي تر رمزنگاري داده استفاده كنيم.
و همچنين ملاحظات امنيتي جهت مقابله با حملات احتمالي هكر ها هم در كدنويسي در نظر گرفته بشه.
اميدوارم دوستان همراهي كنند.
نكته: اين تاپيك فقط مخصوص php است.
از كساني هم كه آژاكس كار كردند نيز دعوت مي كنم تا اعتبار سنجي و تطبيق نام كاربري را با آژاكس انجام بديم.
براي شروع اسكريپت درجه بندي امنيت پسورد در فرم ثبت نام با تكنولوژي اي جكس:
پسورد: "www.farabit.com"کد:برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
Last edited by MATRIX reloaded; 22-02-2009 at 16:22.
از دوستان استاد در اين زمينه خواهشمندم تو اين تاپيك شركت كنند تا بتونيم سروته اين بحث رو يه جوري جمع كنيم تا ديگه نياز نشه راجع بهش تاپيك تكراري باز بشه.
از دوستان dogtag - neopersia هم دعوت دارم.
من خودم زياد وارد نيستم يعني هنوز دارم درس مي گيرم. اميدوارم با به پايان رسيدن اين تاپيك من هم بتونم يك سيستم رجيستر و عضو گيري امن براي سايتم راه اندازي كنم. البته دلم مي خواد راجع به HTTPS و SLL و امنيت پايگاه داده و php هم در رابطه با موضوع تاپيك بحث كنيم.
کاش اسم نمیبردی آخه دوستان دیگه ای هم توی انجمن هستن که تو این زمینه کار میکنن اینجوری شاید ناراحت بشن.
البته در کل فکر نمیکنم مطلب خاصی هم توی این زمینه وجود نداشته باشه ولی حالا که شروع کردید منم هستم.
میرم و سریع برمیگردم!
Last edited by neopersia; 25-05-2008 at 05:04.
براي خيلي ها مثل من مهمه كه وب سايتشون داراي سيستم عضوگيري و اعتبار سنجي امن باشه. روي اين موضوع تاكيد دارم .
البته قصد من افراد بخصوصي نبود از همه دعوت دارم. اميدوارم كمكم كنين.
در ضمن از يكي خواهش دارم تا بحث رو شروع كنه.
با اجازه همه بچه ها، من اول چند نوع از انواع این سیستم رو (تقریباً شفاهی) می گم، بعد تک تک توضیح خواهیم دادشون.
1- یک سیستم تک کاربر (برای استفاده به در پنل ادمین):
برای این کار می توان تنها یک رمز عبور داشت که به 3 روش (در فایل یا در پایگاه داده یا در اصل کد)، ذخیره شود.
مثال برای فایل:
فایل password.pass دارای محتوای زیر است:
مثال برای پایگاه داده:کد:برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
مثلاً در جدول testUSER یک فیلد به نام password با محتوای زیر وجود دارد:
مثال برای کد:کد:برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
در فایل اصلی مون به این شکل وجود دارد:
(که البته می توان همه را به صورت md5 شان قرار داد)کد:برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
در این سیستم می توان به 3 صورت رمز را از کاربر دریافت کرد:
یا به صورت GET :
که باید فایل را به این صورت در براوزر باز کرد:
یا به صورت POST که باید بک فرم در صفحه وجود داشته باشد که در آن فیلدی متنی با نام pass وجود داشته باشد.کد:برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
یا به صورت HTTP Authentication باشه که با کد زیر میشه پسورد رو دریافت کرد:
به 3 صورت هم می توان از پسورد وارد شده استفاده کرد:کد:برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
یا می توان با یک شرط (که اگر پسورد وارد شده با پسورد ذخیره شده برابر بود)، کار مطلوب را انجام داد و تمام
یا آن را با یک کوکی ذخیره کرد
یا آن را با یک سشن ذخیره کرد
2- یک سیستم چند کاربر:
برای این روش ذخیره در فایل و کد عملی نیست.
پس می ماند پایگاه داده
برای دریافت، GET هم توصیه نمی شود.
HTTP Authentication هم قیافه سایت را به هم می زند و فقط برای جاهایی با امنیت بالا مناسب است. (اگر امنیت از زیبایی خیلی مهم تر باشد)
پس می ماند POST
برای اسفاده هم عملاً نمی شود از شرط ساده استفاده کرد (می شود اما توصیه نمی شود)
کوکی هم امنیت ندارد
پس می ماند همان سشن
حالا این یک لیست خیلی ساده بود.
اگر هدف کاملاً مشخص باشد، می توان کد کامل را نوشت و روی آن توضیح داد.
با تشکر از MATRIX reloaded برای ایده قشنگشون.
**منظور شما از HTTP Authentication يعني اعتبار سنجي بوسيله خود مرورگر؟
هدف كاملا مشخصه، البته من بيشتر قصد دارم ياد بگيرم. البته در طي بحث سوال هايي هم خواهم پرسيد كه مدنظر بازديدكنندگان بدون شك خواهد بود.
بالاخره بايد سروته اين تاپيك رو جمع كنيم و بتونيم با كمك شما يك سيستم كاملا امن (عضو گيري - اعتبارسنجي - و تخصيص امكانات به كاربران) در كل يك سيستم membership كامل و بي نقص رو پياده سازي كنيم.
اين تاپيك رو براي اين ايجاد كردم كه بخاطر نداشتن دانش كافي بعضي از طراحان و برنامه نويسان ايراني (افرادي مثل من) وب سايت هاي ايراني داراي امنيت كافي نبوده و نفوذ پذيرند.
البته نمي خوام اين تاپيك به مسائل هك و ... كشيده بشه بلكه هدف فقط راه اندازي سيستم membership تمام و كمال و نفوذ ناپذير (تا حد ممكن) هست.
درر ضمن: بنده از اينترنت هاي عصر هجر استفاده مي كنم (32kbps) البته قصد خريد اينترنت adsl دارم اگه يه موقع حضور من تو تاپيك دير به دير شد منو ببخشيد..
و
از <dog></dog> هم تشكر مي كنم براي شروع خوبش
با تشكر از دوستان
بله. دقیقاً**منظور شما از HTTP Authentication يعني اعتبار سنجي بوسيله خود مرورگر؟
ایشالا بچه ها 1 قدم برن جلو تر، من هم باز میام.
آخه الان نمی دونم باید دقیقاً چی رو توضیح بدم.
با اجازه من يك مثال خيلي ساده براي قسمت اول پست 6 ميزارم:
کد:برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
Last edited by MATRIX reloaded; 25-05-2008 at 15:31.
يك سوال: آيا توبع قوي تر از md5() براي رمزنگاري وجود دارد؟
يه چيزايي درباره sha1 و sha512 شنيدم. مي شه توضيح بدين؟
هم اکنون 1 کاربر در حال مشاهده این تاپیک میباشد. (0 کاربر عضو شده و 1 مهمان)
قوانين ايجاد تاپيک در انجمن
جواب بصورت نقل قول
