Вы просматриваете старую версию данной страницы. Смотрите текущую версию.
Сравнить с текущим |
просмотр истории страницы
Для безопасности авторизации в личном кабинете без использования SSL используется следующий алгоритм:
- В cabinet.php в функции __show_login генерируется случайное число в диапазоне 0-999999
- В login.php оно выводится в скрытое поле
- При нажатии кнопки "Вход" генерируется md5sum от пароля и случайного числа и выводится в скрытое поле
- Содержимое поля с паролем стирается
- cabinet.php в функции __login получает md5sum, случайное число, логин, пустое поле пароля и ip адрес пользователя, передает их в процедуру firebird web_user_login2
- в процедуре сравниваем переданный хэш с хэшем, вычисленным на стороне сервера
- если получилось, то пользователь считается авторизованным