Archief - PHP: password meesturen als cookie

Voor een simpel login scriptje heb ik een mysql table met velden 'id', 'user' en 'pw'. Het passwoord (pw) is een md5() encryptie van een willekeurig wachtwoord.

Nu wil ik dat, wanneer een gebruiker inlogt, er een cookie aangemaakt wordt zodat hij later automatisch herkend wordt. Is het veilig om alleen het ID van de user mee te sturen? Ik denk van niet, aangezien een kwaadwillig persoon dan de site op kan gaan en met een of ander programmaatje deze cookie kan nabootsen (en dan ID = 1 zetten ofzo)? Op die manier zou iemand dus herkend kunnen worden als een gebruiker, met behulp van een valse cookie? Is dit mogelijk, en bestaan er zulke programma's?

Om dit op te lossen zou ik het wachtwoord (de md5 versie) ook als een cookie meesturen, en dan de gebruiker herkennen aan de hand van zijn wachtwoord en zijn id (maw een mysql query die zoekt of er rijen bestaan met deze id en dit wachtwoord). Dit lijkt mij behoorlijk bullet-proof, omdat een kwaadwillig persoon onmogelijk het md5 wachtwoord van een willekeurige id kan raden?

Klopt dit wat ik hier allemaal neerzet , want ik weet niet zo veel af van website's beveiligen enzo. Thanks

zoals jij het aanhaalt, de MD5() versie mee zetten in cookie lijkt me toch redelijk safe ja... (mits je het wachtwoord dan gaat vergelijken met het Id)

De gouden raad van tante Kaat : gebruik nooit md5 om enkel en alleen een paswoord te gaan hashen, voeg er steeds een portie zout ("salt") aan toe.

Kijk maar eens op /., er is deze week nog een artikel over gepasseerd.

Ik ben trouwens eerder gewonnen voor het implementeren van een OpenID login dan, single sign-on over verschillende websites is dan mogelijk.