Validação diferente Login/Senha

[Lucas WRR 0]

E ai pessoal beleza? então, eu tenho uma idéia mas não sei se ela é segura... eu vou postar os detalhes aqui, ai vocês me falem o que acharam.

 

Imaginem um sistema de login e senha, normal, como qualquer outro. O usuário digita as informações, essas informações são verificadas no servidor, se forem verdadeiras é criada uma session. Quando o usuário tentar entrar em uma página restrita (um painel de controle por exemplo) no topo dessa página haveria um pequeno código responsável por verificar a existencia de uma sessão de login. Até ai ta beleza né?

 

NÃO, beleza não ta. Na minha opinião, eu acho muito "das cavernas" programar todas as páginas restritas pra fazer a verificação. Eu penso em deixar um arquivo de conexão (bd) somente para o site normal, e criar outra conexão (bd) somente para a área restrita. Ai no topo dessa segunda conexão (bd) eu programava ela pra verificar a existencia de uma sessão de login.

 

Qualquer requisição a qualquer página restrita seria verificada somente através do segundo arquivo de conexão, já que o mesmo é incluido nas páginas restritas.

 

Isso é o que tenho em mente. Não sei se já é feito assim... eu queria mesmo saber se isso é seguro.

 

Vlw ae!

[ESerra 744]

E qual o teu objetivo com isso tudo? Aumentar a segurança em que? Eu particularmente não vejo porque criar moda, prefiro receber e tratar todos os dados recebidos do usuário, usar PDO para integir com o banco e pronto.

[Lucas WRR 0]

E qual o teu objetivo com isso tudo? Aumentar a segurança em que? Eu particularmente não vejo porque criar moda, prefiro receber e tratar todos os dados recebidos do usuário, usar PDO para integir com o banco e pronto.

 

Se você tivesse lido com atenção, ira perceber que não quero aumentar segurança nenhuma. A questão é que cada página dentro de uma area restrita precisa de uma validação de sessão (nada a ver com tratamento de dados, como você citou), então, um geito mais facil de fazer isso é colocar a validação somente no arquivo de conexão com o banco. Tudo estaria sendo validado, já que esse arquivo de conexão está incluso em toda a área restrita. O meu objetivo nesse post, é saber se esse sistema é seguro.

[Geovane Velmer 0]

...

 

Acredito não ter nenhum problema com segurança fazer isso..

 

=)

 

E gostei da sua ideia, com isso eu economizo tempo e código.

Vou utilizar sua ideia!

 

Parabéns Gostei...

[ESerra 744]

Se você tivesse lido com atenção, ira perceber que não quero aumentar segurança nenhuma. A questão é que cada página dentro de uma area restrita precisa de uma validação de sessão (nada a ver com tratamento de dados, como você citou), então, um geito mais facil de fazer isso é colocar a validação somente no arquivo de conexão com o banco. Tudo estaria sendo validado, já que esse arquivo de conexão está incluso em toda a área restrita. O meu objetivo nesse post, é saber se esse sistema é seguro.

 

Acho que a maioria das pessaos faz desse modo que você citou, só lembre-se que nesse caso você deve usar o require/require_once para caso o arquivo não seja encontrado a execução do script seja encerrada.

[João Batista Neto 448]

Na minha opinião, eu acho muito "das cavernas" programar todas as páginas restritas pra fazer a verificação.

 

Lucas, seu problema está com falta de modelagem e padrão de projeto.

 

Procure sobre MVC ou HMVC e Chain Of Responsibility.

 

Após compreender Chain, procure sobre FilterChain.

[João Pedro PHP 0]

Eu faço isso:

 

faço a verificação em uma pagina chamada session.php ou coisa do tipo, e faço uma requisição em cada página:

 

<?php

require ('session.php');

?>

é isso que eu faço...

[Lucas WRR 0]

@Geovane Velmer: Valeu pelos elogios!

 

@ESerra: Sim, nesse caso, realmente é preciso utilizar um require/require_once. Obrigado pela observação.

 

@João Batista Neto: Obrigado pelas dicas, vou estudar isso.

 

@João Pedro PHP: O seu geito de fazer é praticamente igual ao meu, a única diferença é que ao invés de utilizar o próprio arquivo de conexão, você utiliza um outro arquivo somente para a verificação de sessão. Muito obrigado pela dica.

 

Valeu a todos pelas opiniões e sugestões.

 

Até mais!

[Fabyo 66]

Lucas WRR sua ideia nao tem muito sentido, porque nao precisa conectar no banco toda vez para verificar se o usuario tem permissao, basta verificar a sessao, e a sessao nao depente de conexao com o banco de dados, por isso sua ideia nao tem sentido nem logica

[Lucas WRR 0]

Lucas WRR sua ideia nao tem muito sentido, porque nao precisa conectar no banco toda vez para verificar se o usuario tem permissao, basta verificar a sessao, e a sessao nao depente de conexao com o banco de dados, por isso sua ideia nao tem sentido nem logica

 

A minha lógica é a seguinte: a verificação de sessao apenas é feita no arquivo de conexão, pois esse arquivo é o responsável por todas as modificações feitas em uma área restrita (as configurações feitas passam para o banco através dele). Então não é preciso verificar todas as páginas. SOMENTE A CONEXÃO.

[hinom 5]

Você quer aproveitar que já existe um arquivo único para páginas restritas e embutir nele o script que verifica a sessão do login ?

É isso ?

 

É prático e não implica em problemas de segurança, mas torna a estrutura esdrúxula. Por isso, estude por MVC e outros conforme mencionado no post #6

[Fabyo 66]

Mas assim um usuario poderia entrar numa tela de cadastro onde nao tem conexao e ver as paginas

 

só não daria para salvar, mas dai uma pagina restrita nao seria tão restrita assim com sua logica

 

Use Zend que esse problema acaba, basta incluir um plugin de validação e pronto todas as pagina ja estarão protegidas.