LinkBack URL
About LinkBacksBuona Giornata, mi interessava fare un sistema di riconoscimento utente, che permettesse di capire se un utente è sempre lo stesso o no, e permettesse di bannarlo (se necessario) in maniera univoca
per farlo in maniera efficace non credo che basti il controllo dell' indirizzo IP, anche perché, per fortuna o sfortuna a seconda di come la rigiri, esistono gli ip (pubblici) dinamici.
voi come fareste ?
grazie in anticipo
Visualizzazione risultati 1 fino 5 di 5
Discussione: riconscimento univoco utente, come farlo ?
-
27-09-2021, 07.35.37 #1
Utente giovane
- Data registrazione
- 05-05-2018
- Messaggi
- 69
riconscimento univoco utente, come farlo ?
-
27-09-2021, 08.10.06 #2
AlterGuru
- Data registrazione
- 29-12-2015
- Messaggi
- 1,954
Se hai un meccanismo di autenticazione puoi aggiungere l'informazione sullo stato dell'utente, regolare o sospeso, e controllarlo prima di servire i contenuti del sito. Se il suo stato è sospeso non gli erogherai i contenuti, ma un messaggio d'errore.
Se non hai un meccanismo di autenticazione è impossibile.
In questo caso puoi cercare di avvicinarti all'obiettivo con espedienti come il controllo dell'IP o l'impostazione di un cookie, chiaramente tutti in qualche modo aggirabili.
I suggerimenti che do più spesso:
- Le funzioni mysql_* non fanno più parte di PHP. Usa PDO o MySQLi.
- Il supporto a PHP 5.x è cessato l'1 gennaio 2019, e con esso le funzioni mysql_*. Che ti piaccia o no.
- Non memorizzare le password in chiaro nella base di dati. Usa password_hash().
- Indenta correttamente il codice e usa nomi significativi per gli identificatori.
-
27-09-2021, 12.06.10 #3
Utente giovane
- Data registrazione
- 05-05-2018
- Messaggi
- 69
grazie mille per aver risposto...
tutta il tuo post è abbastanza chiaro, c'è solo una cosa che non mi torna:
se un utente fa "dannare" il mio sito e io lo banno. Lui potrebbe sempre re-iscriversi con un altro nick... e il problema di partenza rimane...
-
27-09-2021, 12.24.10 #4
AlterGuru
- Data registrazione
- 29-12-2015
- Messaggi
- 1,954
Questo è un problema diverso, relativo all'autenticazione. In pratica vuoi che una persona possa registrarsi una sola volta.
La maggior parte dei servizi che hanno questo requisito lo realizzano chiedendo informazioni univoche durante la registrazione e poi verificandole, per esempio un numero di telefono sul quale viene poi inviato un SMS con codice di conferma da usare per perfezionare la registrazione. In alternativa vengono usati indirizzi email o numeri di carta di credito da verificare. La maggior parte di questi sistemi è aggirabile con diverse difficoltà. Dal più semplice al più difficile: email, n. telefono, n. carta di credito, riconoscimento di persona.
Gli ultimi sono sistemi usati dai servizi più sicuri, come lo SPID per le pubbliche amministrazioni. Valuta tu fino a che punto ha realmente senso spingersi in ambito sicurezza. Di solito la registrazione attraverso captcha e verifica via email sono sufficienti: per creare account multipli servono almeno 5-10 minuti ciascuno, mentre per disabilitarli ci metti 10 secondi da un pannello di controllo appositamente creato.
Se vuoi alternative più raffinate puoi anche servirti di un'euristica che sospende temporaneamente la procedura di registrazione per account sospetti, rinviandola a una verifica manuale da parte tua. Basterebbe un banale controllo sull'ultimo IP usato o user agent utilizzato.
I suggerimenti che do più spesso:
- Le funzioni mysql_* non fanno più parte di PHP. Usa PDO o MySQLi.
- Il supporto a PHP 5.x è cessato l'1 gennaio 2019, e con esso le funzioni mysql_*. Che ti piaccia o no.
- Non memorizzare le password in chiaro nella base di dati. Usa password_hash().
- Indenta correttamente il codice e usa nomi significativi per gli identificatori.
-
27-09-2021, 17.15.37 #5
Utente giovane
- Data registrazione
- 05-05-2018
- Messaggi
- 69
ok ok, adesso mi è più chiaro...grazie mille !
