AlterVista Easy Login

[wfs]

Ho creato un progetto chiamato "Altervista Easy Login", adattato ad AlterVista, che permetta agli sviluppatori di siti web di inserire un sistema di login sul proprio sito.
In ogni pagina riservata agli utenti registrati, all' inizio si dovrà inserire:

Codice PHP:

<?php include 'login_sys/reserved.php'; ?>

Per mostrare il form di login, bisogna inserire:

Codice PHP:

<?php include 'login_sys/login.php'; ?>

Per mostrare invece il form d' iscrizione, bisogna inserire:

Codice PHP:

<?php include 'login_sys/signup.php' ?>

Il sistema richiede di impostare tre variabili in cfg.php: $homereg, $errorpage_404 e $homepage. La prima contiene l' url assoluto della pagina da visualizzare una volta che si è fatto il login; la seconda l' url assoluto della pagina da visualizzare se username o password sono errati, e $homepage deve indicare la pagina principale del sito.
Il sistema usa un database SQLite, ma le password sono criptate con md5+sha1.
Per creare il database e per testare se lo spazio web è adatto, bisogna avviare dal browser http://www.nomesito.altervista.org/l...ys/install.php, che creerà un database in /login_sys/db/login.db, creerà una tabella nel database e creerà un utente chiamato guest.
Di questo sistema per ora ho testato solo install.php e, almeno quello, funziona. Inoltre sono ancora un novellino di SQLite: sono abituato a MySQL, ma vedendo che SQLite è leggero e open-source, mi piace di più. E poi è il database più adatto a questi progetti.
Comunque per chi volesse già installare il sistema (versione beta, neanche testata), basta scaricare il pacchetto auto-estraente per windows da qui, o il pacchetto zippato per altri sistemi da qui.
Per chi volesse aderire allo sviluppo siete tutti ben accetti.

[wfs]

Beh? Non interessa a nessuno?

[miki92]

Se permetti vorrei farti un commento che spero prenderai come feedback e non come offesa o scoraggiamento:

1. Questo script a prima vista potrebbe essere utile ad un neofita perchè un utente un po' più esperto cerca su google (dove ci sono script migliori) o si costruisce il login per conto suo.

2. Eliminerei/sostituirei molte righe di codice php con funzioni alternative o migliori ottimizzando anche il codice e riducendo alcuni ms di esecuzione dello script.

3. NON MEMORIZZEREI MAI (se non criptato) le credenziali nei COOKIE.

4. NON UTILIZZEREI MAI i cookie per verificare se l'utente è loggato o meno, meglio le sessioni.

5. Cambierei

Codice PHP:

echo "<meta http-equiv=refresh content='0; url=$homereg'>";


Con un

Codice PHP:

Header("Location: ".$homereg)


Per una corretta validazione HTML della pagina.

Spero di non averti scoraggiato nè offeso. Ti ripeto, spero che prenderai questo post come commento di feedback e dato che ci siamo, da utente "vecchio" del forum, debbo invitarti a rileggerti il regolamento di AlterVista/AlterVista Forum prima di continuare a postare.

[alemoppo]

Questo può esserti d'aiuto, anche se è un po' vecchiotto con php4.

Ciao!

[wfs]

Sì, ma se ben ricordo gli header vanno inseriti prima di ogni output HTML, invece il meta è stato inserito dopo altri output...
L' username non è criptato, ma la password è criptata con

Codice PHP:

sha1(md5(sha1($password)));


E' ormai dimostrato che criptare con ripetuti algoritmi di hash rende più debole l'hash finale. Perciò è buona norma usare un algoritmo solo.

[karl94]

E' ormai dimostrato che criptare con ripetuti algoritmi di hash rende più debole l'hash finale. Perciò è buona norma usare un algoritmo solo.

Potresti citare una fonte che afferma ciò?