קוקיז או סשן? מה עדיף?

[eLad]

ציטוט:

נכתב במקור על ידי SsH S Scripts

איזה 2 נתונים יכולים לאמת משתמש חוץ מID או USER וסיסמא?
עריכה: ושלא יהיה קל לזייף כי אז כל הרעיון שלך הלך שוב

או, שאלה יפה שאלת, אבל התשובה שלי יותר יפה

בעת ההרשמה, אני קולט שני פרמטרים מהמשתמש נכון? userID ו userPassword.
בשדה נוסף במסד, נקרא לו randNumber אני יוצר בעצמי (המשתמש לא קשור לזה) מספר רנדומאלי של איזה 8 ספרות ומוודא שהוא לא חוזר על עצמו (כלומר לא קיים ברשומות לפני זה).

ואני שומר בעוגייה שני פרמטרים: userID ו randNumber מוצפנים (שים לב, במסד הם בצורה רגילה!).

בעת כניסה לאתר, אני בודק את ה cookie ומחפש האם במסד קיים userID שה randNumber זהה למה שיש בעוגייה:

במידה וזה זהה - סבבה. העוגייה עד כה תקינה. אני בודק האם הסיסמא שהגולש הקיש שווה לסיסמא המוצפנת שקיימת במסד.

הסיסמא שהגולש הקיש שווה לסיסמא המוצפנת שיש במסד? אחלה. האימות עבר בהצלחה. אני מכניס את ה userID ל session ומשתמש מעכשיו רק ב session. מהעוגייה שכחתי ואני לא צריך אותה יותר כרגע.

הסיסמא שהגולש הקיש לא שווה לסיסמא המוצפנת שיש במסד? הגולש כנראה החליף סיסמא. זה הזמן למחוק את העוגייה ולבקש ממנו שייתחבר עם הפרטים החדשים.

במידה וזה לא זהה - העוגייה כנראה מזוייפת. אני עוצר את האימות ומחזיר אותו לטופס ההתחברות

יש עוד שאלות על השיטה?