Patvirtinomo kodas registracijoje

Tai va baigiau daryti registracija ir sumasciau idet registracijos koda del saugumo :D BEt ar bus saugiau jei patvirtinimo kodas bus paparsciausias sugeneruotas skaicius su rand? funkcija

Na ne tiek saugiau, kiek isvengsi automatiniu scriptu su netikrom registracijom. Nes bet kas kitu atveju galetu padaryti, kad scriptukas uzserigestruotu pas tave kokius 10000 kartu. :D Na, nebent padarytum uzraso is paveikslelio ivedimo apsauga.

O del skaiciu, tai manau, kad visai jokio skirtumo ar tas kodas bus is raidziu, ar is skaiciu, ar is zenklu ar kitu simboliu.

Yup, skirtumas tik toks, kad naudojant vien skaičius kodas bus lengviau atspėjamas - 10^n variantų, su lotyniškom raidėm - 82^n variantų (case-sensitive), kur n - kodo ilgis :) Bet esmė, kad nelabai kas kodus spėlios, tai kaip ir nėra skirtumo tikriausiai, nebent naudojant tuos kodus ne registracijoje, o kaip kažką unikalaus kiekvienam vartotojui - tada, aišku, geriausia pasirinkt antrą variantą ([A-Za-z0-9]).

o kaip padaryt, kad priimtu tik toki koda koks sugeneruotas? nu as ne ant paveikslelio darau, o yra pas mane su random toki: 12345, 13254, 15423, 54132 nu ir panasus tai kaip? mazdaug isivaizduoju, tik nepagaunu kaip turetu sc atrodyt....

lengwiausiai tai tikriausiai taip:

idedi ta koda i koki nors $_SESSION kintamaji, tadar issiunti emaila su tuo kodu ir paprasai kad ta koda iwestu i saite esancia forma, o tada telieka palygint zmogaus iwesta koda su $_SESSION masywo kintamajame esanciu kodu. wiskas, nera sunku ir tikiuosi supratai :)

lengwiausiai tai tikriausiai taip:

idedi ta koda i koki nors $_SESSION kintamaji, tadar issiunti emaila su tuo kodu ir paprasai kad ta koda iwestu i saite esancia forma, o tada telieka palygint zmogaus iwesta koda su $_SESSION masywo kintamajame esanciu kodu. wiskas, nera sunku ir tikiuosi supratai :D

Ir dar geriausia ta kintamaji su reiksme perduok GET metodu, kad jis adreso laukelyje matytusi. Sutaupysi zmonems laiko, nereiks eit tikrintis pasto ir to kodo ieskot. :)

O jei rimtai, tai toks budas yra labai lengvai apeinamas. Galima ji siek tiek modifikuoti: sugeneruoti random skaiciu (raidziu) kombinacija, ja issiusti pastu, o i ta kintamaji patalpinti tos kombinacijos md5 hasha. Ir kai ives koda patikrinti ar sutampa ivesto kodo md5 hashas su kintamojo reiksme.

Gal ir siek tiek sudetingiau, bet ZYMIAI saugiau. :D

Jo, tikrai saugiau :) o jei dar nori sawo duomenu baze apsaugot nuo wartotoju slaptazodziu wagystes, tai registracijos metu slaptazodzius uzkoduok su md5() arba crypt() funkcija. o kai wartotojas prisijungs, jo iwesta slaptazodi taip pat uzkoduoji ir palygini su DB esanciu uzkoduotu slaptazodziu. buk atidus su crypt() funkcija, ji saugesne, bet sunkiau perprast jos naudojima. pasiskaityk apie ja php.net saite pries naudodamas

arba kai sugeneruos irasyk i MySQL, o po panaudojimo paprasciausiai istrink :)

be paveikslelio nera visai saugu, nes galima nuskaityti

arba kai sugeneruos irasyk i MySQL, o po panaudojimo paprasciausiai istrink :angry:

be paveikslelio nera visai saugu, nes galima nuskaityti

Atrodo kad tu kažko nesupratai...

Kam MySql, jei galima be jos apsieiti? Veltui apkraunamas serveris.

Nors iš dalies galima ir taip daryt, tada tas vartotojas galės uždaryti langą naršyklės, bet čia vistiek ginčytinas dalykas.

Ir čia jis prašė ne kažkokios apsaugos nuo bot'ų, kur reikia simbolius iš paveikslėlio vesti, o registracijos (ar kažko kito) patvirtinimo E-Mail'u. Tai čia paveikslėlis ko gero nieko bendro neturi...

Be to ši tema labai sena. Manau, kad jis jau pasidarė taip, kaip jam reikėjo. :)