Форум PHP

По-моему автор ответа имел ввиду, что нестоит хранить пароль в сессиях в отрыктом виде, как это сделано в приведенном скрипте

Если не хранить пароль в сессиях или куки, то тогда как по вашему работают почтовые и сервисы?

или куки можно? Ведь галочку которую мы часто нажимаен "запомнить" работает именно через куки

к тому же это выбор пользователя, он сам решает, хранить локально или не хранить...

конечно:)

По поводу идентификатора - сорри, я не заметил что это просто запрос кривоват =). Вот посмотрите:

$sql2 = "SELECT * FROM `admins`                    WHERE `aid` IN(                      SELECT `uid` FROM `users`                       WHERE `login`='$login'                         AND `pass`='$pass')";

На момент этого запроса у вас уже есть результат предыдущей выборки, потому его можно упростить до:

$sql2 = "SELECT * FROM `admins`                    WHERE `aid` = '{$id}' LIMIT 1;

Где $id вы получаете как результат с предыдущей выборки (те вы же выполнили запрос, так получите данные о пользователе). И рекомендую ставить лимит в 1, чтобы база при нахождении пользователя не выполняла больше никаких действий.

Разница заметна, правда? :)

> А Вы пробовали читать, что-нибудь кроме того что пишете Вы?

Я на ваши вопросы отвечаю чётко с учётом сказанного в этой ветке ранее, чего вы не делаете. Или я что-то упустил?

> И раз уж я поимел хеш из Вашей базы, то я буду иметь Вашу базу до тех пор пока не назначу своему аккаунту права администратора, как вариант. Но брутофорсить хеш... увольте.

Есть масса различных ситуаций, когда удаётся получить только хеш пароля, но не его целиком. Если вы будете каждый раз идеализировать ситуацию в вашу сторону (поимею всю базу, угадаю пароль с первого раза и т.п.), то спор будет вечным и, увольте, спорить о таком я не буду, это глупо.

А Вы пробовали читать, что-нибудь кроме того что пишете Вы?
И раз уж я поимел хеш из Вашей базы, то я буду иметь Вашу базу до тех пор пока не назначу своему аккаунту права администратора, как вариант. Но брутофорсить хеш... увольте.

1. Нет! Вы не правы! В таблице администраторов хранится только id, как первиичный ключ, aid, который равен users.uid и есть поля типа enum для тех самых разделов со значениями 0,1. Ведь выше по треду я так и пытался запросить в запросе (каламбур) - есть ли в admins такая строка, где admins.aid = users.uid. Никаких паролей.
2. Переименовал)

escape_string мешает) Ну, может я где-то и идиот, но не до такой же степени))) Я же говорил что код не дописан. Признал ошибку. Впредь пишу всё и сразу)

Как я уже говорил, брутфорс - название метода, который может применяться как к форме авторизации (непосредственный пароль), так и к хешу (полный перебор комбинаций). Защита от таки на форму - отдельный разговор.Читать что я писал раньше не пробовали?

Да, у меня стоит, при этом на большинстве основных сайтов и служб стоят разные пароли со с буквами в разных регистрах, символами и спецзнаками. На основном почтовом аккаунте вообще пароль 16-значный.

вот как раз брутофорсу плевать на вашу соль, и перебирать он будет пароли пользователя в 10 символов и вряд ли там будут спец знаки. Не путайте с подбором пароля по известному хешу.
Брутофорс используют как крайнюю меру, когда уже больше ничего не помогает.
___
у кого где-нибудь стоит пароль больше 10 символов?

Ну тогда это не таблица администраторов, а список доступов.

1. Там не должны храниться пароли и логины, а только идентификаторы привязных пользователей. Выходит вы храните их в 2х местах.
2. Будет логичнее переименовать таблицу в rights.

И мне всё-ещё интересно по поводу моего предположения, код на сервере не совпадает или это мейджик квотс немного мешает? (скорее 1ое)