tänkte spara en hashkod baserad på användarnamn och lösen i besökarens kaka.

sedan kommer problemet.... går det att komma runt problemet att jag måste stega igenom besökardatabasen och lägga ihop användarnamn + lösen för att jämföra med kakan?

finns det någon funktion i sql som lägger ihop två fält och fixar en hash-kod av dem ?

spara en hashkod av användarnamn och lösenord när du skapar/uppdaterar användaren.

Dock så är din metod öppen för Replay attacker.

Jag vill inte spara hash-koden i databasen.... pga besökaren kanske utgår eller får nytt lösenord.

Jag får nog stega igenom databasen....

Spara även användarnamnet i klartext i cookien.

Men som Patrik redan påpekat så kan någon som kommer åt din hashade text logga in på sidan, du vinner med andra ord inte så mycket på att hasha lösenordet. Tyvärr är det så att alla typer av autoinloggning jag har sett på webben är mer eller mindre osäkra då det inte finns något sätt att identifiera klienten serverside. I klartext så kan man alltså kopiera din cookie till en annan dator och logga in där också.

/Johan

Det jag vinner är att om jag tar bort användaren i databasen eller ändrar dennes lösenord så gäller inte kakan som inloggning. Om jag sedan vill använda lösenordet någon annanstans på sajten för tex ett godkännande så vet inte snokarnisse lösenordet.... jag ser en för del med hashkaka :-)

Visst, man kan inte se lösenordet i klartext, men är man lite händig kan man använda hashen för att logga in istället...

/Johan