Форум PHP

Доброго времени суток.
Допустим у пользователя в кукисах храняться логин и пароль.
В файле top.php (который подключается ко всем страницам сайта) стоит проверка пользователя (проверяется существует ли такой пользователь в базе, и если да то проверяется правильность пароля).
Достаточно ли такой проверки?

да

Существование пользователя и корректность пароля следует проверять в один шаг.

Достаточно для чего?
Всё зависит от политики сайта.
Можно было сделать так, чтобы этого было достаточно, например:
1. для просмотра общедоступных разделов в согласно личным настройкам и с учетом данных по прочитанным сообщениям.
2. для чтения личных сообщений
3. для написания общих постингов.
4. для написания личных сообщений.
5. для изменения собственных настроек.
6. для изменения е-мэйла и/или пароля.
примерно так (в порядке роста конфиденциальности информации)
между любым из пунктов администратор может провести черту, отделяющую раздел, доступный по авторизации by cookie, от раздела для которого требуется более жесткая аутентификация.

более жесткая аутентификация - это сессии ?

Более жесткая аутентификация - это предложение ввести пароль и проверить на вшивость не браузер и не компьютер, а человека .

тогда еще вопрос

я делаю инет магазин

и для просто браузинга по новостям, каталогу товаров, и собственно скидыванию товаров в корзину достаточно кукисов, а потом при подтверждении заказа нужно будет ввести логин и пароль заново, это нормально будет ?

Да, вполне. Так достаточно часто делают, + к этому можно использовать картинку.

хранить имя и пароль в куках. или даже пароль в куках вобще плохая идея.
Наверняка если есть шифрование пароля то это мд5. Если завтра вдруг научатся ломать мд5 за 5 минут, то любой буратино может взять чужую куку и посмотреть пароль. Он и сейчас может взять куку, но пароля он все равно не узнает. Это если интернет магазин нормально спроектирован (т.е. для смены пароля нужно ввести старый пароль).
В куке хранить id и 32 значный ключ. ключ хранить в отдельной таблице и генерировать новый при обращении к этой куке. Соответсвенно постоянно ставить куку с новым ключем.

йес.. делаю свой первый сайт, но именно так и поступил..
в куке храню дату авторизации+ещё что то (не могу сразу вспомнить, пивка перепил) , плюс айпи с которого человек зашёл.
При каждом обращении сверяю и то и другое. Дата+ещё_что_то закодирована два раза мд5, айпи тоже..
В самой куке ничего не говорит что это дата и айпи. Айпи с куки сверяю с тем что в текущей момент, ну и дата в отдельную таблицу записана. Тоже сверяю.
Этого достаточно? А ещё.. Сверяется не только кука, но и сессия.. Если что, то прошу пани по новой авторизироваться. Смена пароля только если введёте старый. Причём старый действует до тех пор пока вы не активируете. Активация отправляется на мыло. Смена мыла тоже только если активировать.
Напоминания пароля на мыло. Причём при регистрации их человек вводит два. Одно для напоминания пароляи и активации анакаунта, другое если он захочет что бы отображалось на форуме, анкете и так далее. Правда он может и одно и тоже мыло ввести, его дело.
Я ничего не перемудрил?

Сессия это сессия которая умирает через 15 минут или после закрытия броузера.
А кука с именем и паролем это не сессия. она живет больше 15 минут и не умирает после закрытия броузера.
Вы определитесь это у вас сессионная кука или кука для запоминания пароля. потому что если это второе, то ип адрес там не к селу.

После авторизации то что я перечислил хранится и там и там..
И проверяется оттуда и оттуда. Сравнивается с тем что в базе (дата+ник вроде)
Плюс ещё сравнивается совпадает ли айпи в сессии и куке с тем с которого зашёл посетитель.
Всё это не в открытом виде, а два раза мд5.
Я понимаю что при таком варианте посетителю придётся авторизироваться периодически или при каждом посещении (после закрытия браузера).
Но пока не определился, толи оставить так, то ли упростить..
Видимо приду к какому то решению после того как больше об этом узнаю.