Origineel gepost door N P

In principe zou je, als je dit soort dingen niet zelf kunt bedenken, eigenlijk helemaal niet aan automatische login moeten beginnen. Het wordt simpelweg te onveilig. Maar om je toch vooruit te helpen:

Stap 1:
Bij login het volgende in de database opslaan:
- een unieke code genereren
- ip-adres
- uiterste geldigheidsdatum.

Deze code samen in een cookie opslaan, van deze cookie kun je de levensduur bepalen.

Stap 2:
Bij bezoeken van de website controleren, indien niet ingelogd, bestaat cookie?
Zo ja, vergelijk de cookie gegevens met de database:
- Zoek gebruiker waarbij IP-adres, unieke code overeenkomt.
- Controleer ook of de huidige serverdatum nog voor de uiterste geldigheidsdatum ligt.
- Indien gebruiker gevonden, inlog sessie aanmaken + Stap 1 herhalen (dus een nieuwe cookie aanmaken en oude verwijderen)

Vergeet echter niet, een ip-adres kan nagedaan worden en de unieke code kan door spyware en of javascript injectie in je website worden uitgelezen door hackers.

Denk je ook aan de wachtwoord-onthouden functies in de browsers? Ze vragen erom en je bereikt er precies hetzelfde mee.

Als je zoiets maakt, dien je tevens rekening te houden met de WBP. Aangezien een IP adres een (in)directe relatie kan hebben tot een persoon. Zelf zou ik hier vooralsnog, aangezien je hier redelijk wat vragen stelt en mogelijk nog niet heel ervaren ben m.b.t. programmeren, geen gebruik maken van IP adres storage e.d.
Lang ingelogd blijven kan ook zonder het gebruik van IP adressen.

Wat ik zelf nogsteeds prettig vindt werken (en uitstekende beveiliging) is de ouderwetse htaccess / htpasswd combinatie.
Gebruikers en wachtwoorden kunnen eenvoudig met php naar het .htpasswd bestand geschreven worden, beheer is dus ook geen probleem.

PHP Code:

$users = mysql_query("SELECT `username`,`password` FROM `users`");
while ($rec = mysql_fetch_object($users)){
    if (!$new_file){
        $new_file = "$rec->username:$rec->password";
    }else{
        $new_file .= "\n$rec->username:$rec->password";
    }
}
$f=fopen("/var/www/domain/.htpasswd","w");
fwrite($f,$new_file);
fclose($f); 


Bovenstaand voorbeeld is er vanuit gaande dat de wachtwoord als dmv sha1 opgeslagen zijn in de database.

PHP Code:

$hash = base64_encode(sha1($pass, true));
$pass = '{SHA}'.$hash;