Archief - veilig inloggen en ingelogd blijven

Heb momenteel een website opgebouwd in PHP (aangevuld met een SQL-database), zonder gebruikersinteractie.

Aangezien ik bij een volgende update van mijn website interactief wil maken was ik begonnen met de opbouw van gebruikersmogelijkheden.

Daarbij volgende vraag: hoe laat ik op de meest veilige manier gebruikers inloggen, en hoe laat ik ze ingelogd blijven? (indien ze dit wensen)

Hoe zouden jullie dit aanpakken?

Nog tips bij de opbouw van een gebruikersdatabase? De paswoorden zullen via sha1 (+string) worden opgeslagen in een database.

Probeer met sessie's of cookies te werken die ergens van afhankelijk zijn (bv browser van die persoon) om cookie hijacking te voorkomen
Ook alle inputvelden die gebruikt worden 'cleanen' voor je deze in je db stopt, om SQL injectie te voorkomen, en ik log ook elke poging die gedaan wordt bij het inloggen met ip en tijd

je kan ook altijd een bewerking doen op het password van de user.
Dit heeft niet alleen het voordeel dat de input niet onmiddelijk gezocht word in de tabel, maar dat uit de table ook niet rechtstreeks de data kan worden gelezen., je moet altijd een omgekeerde bewerking uitvoeren om van die data iets leesbaar te maken.

vb: md5 hash, niet aan te raden naar veiligheid, maar is een begin

extra beveiliging:

Ik check bij elke pageload een MD5 hash van de useragent + ip;
Verandert het IP of de useragent dan kan je er al vanuit gaan dat uw sessie gekaapt is en de sessie afbreken.

( is uiteraard niet 100% sluitend aangezien ge de useragent en ip kunt faken.. )