Jakie logowanie najlepiej zrobic? Opcje

[wozniak]

Witam, mam pytanko jakie logowanie najlepiej zrobic? tzn
Jezeli login jest ok i hasło ok to w ciastko wrzucic losowe cyferki i zapisac je np. w bazie i jezeli ciastko i to z bazy bedzie sie zgadzac to pokaze jakies dane dla uzytkownika tak?

[Najki]

W ciastku powinien być login i hasło, raczej nic więcej. Przy każdym przeładowaniu strony należy wtedy sprawdzić, czy użytkownik o takim loginie istnieje i czy podane jest poprawne hasło, bo użytkownik zawartość ciastka może sobie zmienić w każdej chwili. Jeśli w bazie użytkowników hasła masz kodowane w MD5() to do ciastka wrzuć hasło już zakodowane tym systemem.

[php programmer]

Zdecydowanie odradzam ciastka,
można bardzo łatwo się gdzieś pomylić,
a to sie nie przeładuje strony, a to setcookie będzie po wysłaniu nagłowka,
zamiast tego lepiej użyć sesje, zmienna $_SESSION zachowuje się bardzo podobnie do zwykłych zmiennych (z tą różnicą, że jest widoczna wszędzie),
operacje przypisania wyglądają podobnie jak dla zwykłej zmiennej, nie trzeba
używać specjalnie funkcji żeby ustawić zmienną (jak to jest w przypadku ciastek)
po za tym masz już id sejsi (nie musisz nic losować)

Ten post edytował php programmer 28.02.2006, 09:08:14

[mike]

~php programmer wybacz ale to co napisałeś to głupie argumenty.

Zdecydowanie odradzam ciastka,

Dlaczego?

można bardzo łatwo się gdzieś pomylić,

Stosowanie sesji nie gwarantuje Ci, że się nie pomylisz. Tak samo możesz się pomylić jak przy cookies

a to sie nie przeładuje strony, a to setcookie będzie po wysłaniu nagłowka,

1. A po co Ci przeładowanie strony?
2. "A to się napisze session_start()" po wysłąniu nagłówków (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) Tak samo jak w cookies

zamiast tego lepiej użyć sesje, zmienna $_SESSION zachowuje się bardzo podobnie do zwykłych zmiennych (z tą różnicą, że jest widoczna wszędzie),

A co powiesz o zmiennej $_COOKIE :?:

operacje przypisania wyglądają podobnie jak dla zwykłej zmiennej, nie trzeba
używać specjalnie funkcji żeby ustawić zmienną (jak to jest w przypadku ciastek)

A tu musisz używać session_start() i session_destroy()

A poza tym nie wiem czy wiesz, ale korzystanie z sesji powoduje ustawianie cookie na komputerze użytkownika. No chyba że ich nie akceptuje, wtedy UID idzie w linkach i łatwo o włam.

Nie mówię, że nie masz racji. Bo to jest subiektywne podejście i ocena.
Ale jak już chcesz coś zargumentować , to podaj jakieś normalne argumenty.

[php programmer]

Nie chce się tu wykłucać, ale session_start() piszesz tylko raz na początku strony,
bez żadnych argumentów, wręcz mechanicznie,

a przypisanie wartości wymaga tylko:

[PHP] pobierz, plaintext 
<?php
$_SESSION['nazwa']='wartosc';
?>
[PHP] pobierz, plaintext 

i już można używać zwyczajnie tej zmiennej dwie linijki niżej

podczas gdy przy cookie masz:

[PHP] pobierz, plaintext 
<?php
setcookie('nazwa','wartosc',time()+3600);
?>
[PHP] pobierz, plaintext 

i widzisz tą zmienną dopiero przy kolejnej wizycie, np przeładowaniu strony

na dodatek kiedyś przez pomyłkę napisałem 3600 zamiast time()+3600
(strata czasu na szukanie błedu)

sam zreszta jeszcze nie dawno byłem przciwnikiem sesji, bo skoro opiera się na cookie to po co jej używać, ale teraz po prostu wiem, że przy cookie łatwiej się pomylić, to tak jak by powiedziec, po co komu Windows/Linux jak można bezpośrednio pisac komendy w asemblerze

cookies mają sens jedynie przy długoterminowym przechowywaniu zmiennych
(tydzień, miesiąc, ...)

Ten post edytował php programmer 28.02.2006, 11:36:38

[koskitos]

ok, a w sesjach chyba niekonieczne jest przechowywanie hasla? wystarczy nazwa usera?
dla pewnosci pytam

[php programmer]

Nie trzeba, hasło sprawdza się tylko za pierwszym razem w bazie
a potem tylko ustawiasz w sesji że dany użytkownik jest zalogowany,
(zresztą w przypadku cookie też nie trzeba trzymać hasła)

[revyag]

że przy cookie łatwiej się pomylić,

Kiepski argument, łatwiej się pomylić ? Że wcisnę inną cyfrę na klawiaturze ? To od dzisiaj zaczynam programować tylko myszką (IMG:http://forum.php.pl/style_emoticons/default/snitch.gif)

to tak jak by powiedziec, po co komu Windows/Linux jak można bezpośrednio pisac komendy w asemblerze

LOL
(IMG:http://forum.php.pl/style_emoticons/default/thumbsupsmileyanim.gif)

[php programmer]

No z tym Linuxem to argument troche przesadzony, ale oddaje co miałem na myśli

[mike]

prostu wiem, że przy cookie łatwiej się pomylić, to tak jak by powiedziec, po co komu Windows/Linux jak można bezpośrednio pisac komendy w asemblerze

A po co słuchać takich głupot skoro można posuchać kogoś kto ma konkretne argumenty.
Już nawet nie mówię o sobie. Ważne żeby nie Ciebie z takimi głupotami na języku (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)

[Kuziu]

Nie trzeba, hasło sprawdza się tylko za pierwszym razem w bazie
a potem tylko ustawiasz w sesji że dany użytkownik jest zalogowany,
(zresztą w przypadku cookie też nie trzeba trzymać hasła)

A to Ciekawe.

I np. komuś chcesz usunąć konto a on ma tylko informację o tym że jest zalogowany i chodzi po stronce mimo ze go już nie ma.

Ktoś komuś wykrada hasło. User wysyła sobie przypomnienie na maila. zmienia hasło a tamten może mu nadal łazić po koncie mimo że ma już nieaktualne hasło bo ma nastawione w cookie Zalogowany.

Bez sensu.

W cookie nalezy trzymać login i hasło zakodowane i sprawdzac przy każdej odsłonie.

[php programmer]

ok, no to tym bardziej sie ujawnia przewaga sesji,
(zamkniesz okno i juz jesteś automatycznie wylogowany)

[nospor]

(zamkniesz okno i juz jesteś automatycznie wylogowany)

i co z tego? ale koles co ci biega na Twoim hasle nie zamyka okna i nadal ma sesję i nadal jest zalogowany i nadal ci bruździ na koncie do bulu.

zastanow sie zanim coś napiszesz. W koncu posiadasz "wiedzę popartą wieloletnim doświadczeniem". Nie szargaj tak se opini (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

[php programmer]

o matko,
no chyba koleś nie będzie trzymał przez miesiąc otwartej przeglądarki,
więcej za prąd zapłaci niż by miał z tego korzyść

Ten post edytował php programmer 28.02.2006, 12:06:30

[nospor]

@php programmer jesteś niesamowity (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) Musisz być szczęsliwy, bo widze ze wogole nie przejmujesz się opiniami innych (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

Kolesiowi wystarczy 5 minut by ci nabruździc na twoim koncie.

[php programmer]

nospor jesteś niekonsekwentny w swoich wypowiedziach,
włamywacz najpierw musi się włamac żeby mieć hasło,
skoro już się włamie, to przecież admin nie musi wcale wiedzieć
że ktoś się włamał, (włamał się na dodatek w nocy spacjalnie jak wszyscy śpią)
i i tak nie zmieni hasła

Ten post edytował php programmer 28.02.2006, 12:13:23

[Kuziu]

A co z logowaniem na stałe ?

U mnie na stronie większość osób korzysta z zapamiętywania hasła.
Jak chcą się wylogować to mogą.
A gdy chcę ich usunąć to już najbliższe kliknięcie go wywala z konta.

A tak jak napisał nospor 5 minut wystarcza.

No ale jak chcesz to upieraj się dalej przy swoim nawet jeśli kilka osób mówi Ci to samo.

Pozdro


--- edit ---

To co jak już się włamał to niech sobie siedzi miesiącami na koncie ?
I nie ma siły go wywalić ?

Bezsens

Lub jeszcze inna sytuacja.
Ktoś mi zmienia hasło ... mnie nie wywala i nawet nie wiem że mi zmienił i sobie używam konta przez miesiąc nie wiedzą że ktoś mi zmienił hasło a on z mojego konta może czytać jakieś informacje kierowane tylko do mnie.

A zresztą mówisz że w cookies mozna popełnić błąd z time()+3600 a 3600 a taki błąd że ktoś może komuś na koncie siedzieć Cię nie razi.
Przez to widać że mowisz tylko to co Ci pasuje nie patrząc na opinię innych.
Bo błąd mało ważny powodowany z Twojej winy jakim jest czas życia Cookie jest tak wazny że przekonujesz kogoś do nie korzystania z niego a to że ktoś się włamie na konto jest dla ciebie mało wazne.

Ten post edytował Kuziu 28.02.2006, 12:20:10

[nospor]

nospor jesteś niekonsekwentny w swoich wypowiedziach,

Nie rozumiem.

Spojrz na to globalnie. ale moze akurat admin o tym wie i ma szanse temu zapobiec. W twoim skrypcie nie bedzie mial tej szansy (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) Mowimy tu tez o prawach. Dla danego usera mogą się one w danej chwili zmienic, ze nie moze czegos zrobic. Niesprawdzając tego, skrypt mu na to pozwoli, bo jest zalogowany na starych prawach.
I wiele innych.
Ale juz skonczmy z tym bo nie raz daleś przyklad, że ciebie nie da się przekonać

[sobstel]

osobiście uważam, że trzymanie w cookies loginu i hasła to nie jest najlepszy pomysł. nie ma przynajmniej większego uzasadnienia dla tego, bowiem w zupełności wystarczy session_id (i wcale nawet nie trzeba do tego używać mechanizmu obsługi sesji wbudowanego w php). oczywiście nie należy trzymać w samych danych sesyjnych informacyji o tym czy user zalogowany oraz jakie ma prawa. trzeba natomiast sprawdzać to przy każdym żądaniu na podstawie user_id trzymanym jako zmienna sessyjna [nie cookie] (user wtedy nie masz szans wykonać czynności do których nie jest uprawniony, także wtedy gdy już po zalogowaniu został usunięty albo zmieniono mu prawa).

ze względów bezpieczeństwa oczywiście najlepiej wyłączyć transparentne przekazywanie session_id w adresie, tj. uzywac tylko cookies (m.in. session.use_only_cookie czy jakos tak)

---
EDIT:

co do logowania na stałe, to tu też nie używałbym loginu i hasła a też jakiś hash np. md5, tylko nie ten sam co session_id. sesson_id ma dotyczyć (jak sama nazwa wskazuje) danej sesji usera.

Ten post edytował sopel 28.02.2006, 12:52:18

[wozniak]

Teraz mnie dopiero zmieszaliscie;)

[nickers]

Jesli chodzi o bezpieczenstwo. To jesli dobrze zrozumialem, to przy zapisywaniu w cookie tylko czy uzytkownik jest zalogowany, nie trzeba znac nawet hasla (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) Wystarczy ustawic sobie recznie w cookie, ze jestem zalogowany jako admin i nie ma mocnych (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Ja uzywam sesji, bo mysle, ze sa bazpieczniejsze. Ciezej sie wlamac, jesli nie ma sie zakodowanego hasla. Czasem wystarczy blad przegladarki i cookie nie zostanie usuniety i kazdy kto bedzie chcial bedzie mial dostep do konta. W cookie zapisuje tylko, jesli uzytkownik chce byc "zapamietany", ale wtedy tez tylko zakodowane informacje.

[sobstel]

Ja uzywam sesji, bo mysle, ze sa bazpieczniejsze (...)

bezpieczniejsze od czego? mechanizm sesji uzywa cookies! reszty nie bede komentowac...

Ten post edytował sopel 28.02.2006, 15:18:52

[nickers]

Nie wiem, jak na innych serwerach, ale u mnie w cookie przechowywane jest tylko id sesji. Nawet jesli zostanie nie usuniete, to przeciez sesja ma maksymalny czas trwania.

Jesli w cookie zostanie user i haslo to przepadles :/ Nawet jesli zostanie w wersji zakodowanej, to moze dane te moga latwo wpasc w niepowołane ręce. Taka osoba majac tylko zakodowana wersje hasla, moze je sobie ustawic jako cookie i zmienic haslo na inne, czyli przejac kontrole nad kontem.

Chyba nie mowie zle (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) Jesli tak to prosze mnie poprawic, nie uwazam sie za znawce tematu, to tylko moje przemyslenia.

Ten post edytował nickers 28.02.2006, 15:30:31

[sobstel]

Nie wiem, jak na innych serwerach, ale u mnie w cookie przechowywane jest tylko id sesji. Nawet jesli zostanie nie usuniete, to przeciez sesja ma maksymalny czas trwania.

Jesli w cookie zostanie user i haslo to przepadles :/ Nawet jesli zostanie w wersji zakodowanej, to moze dane te moga latwo wpasc w niepowołane ręce. Taka osoba majac tylko zakodowana wersje hasla, moze je sobie ustawic jako cookie i zmienic haslo na inne, czyli przejac kontrole nad kontem.

a, sorry, zle zrozumialem twojego wczesniejszego posta. w zupelnosci sie zgadzam, dlatego jestem przeciwny trzymaniu loginu i hasla (nawet zakodowanego) w cookies, zwlaszcza ze nie potrafie znalezc powodu, dla ktorego mialoby byc to lepsze i bezpieczeniejsze od trzymania samego id sesji.

[marcini82]

Nie zapominajmy o tym, ze przegladarka przy kazdym wywolaniu wysyla do serwera zawartosc cookies, wiec trzymanie tam tak poufnych danych jak hasla, nawet w zakodowanej postaci, nie jest dobrym pomyslem.
Ktos, kto podslucha sobie na snifferze tylko maly fragment sesji uzytkownika, od razu uzyskuje dostep do jego zakodowanego hasla i Bog wie czego jeszcze, co programista raczyl nieopatrznie w cookie umiescic.

[nospor]

Tak i dlatego hasla w ciasteczkach powinny byc trzymane tylko na życzenie użytkownika, gdy wybierze np. opcję Zapamiętaj mnie (zaloguj automatycznie)

[sobstel]

Tak i dlatego hasla w ciasteczkach powinny byc trzymane tylko na życzenie użytkownika, gdy wybierze np. opcję Zapamiętaj mnie (zaloguj automatycznie)

ale dlaczego i po co? powstrzymywałbym się o przesyłania hasła do usera kiedykolwiek. lepiej chyba trzymać jakiś losowo wygenerowany id, który jest sprawdzany przy wejściu na stronę.

[nospor]

Jak mowilem haslo, mialem na mysli hasha z tego hasla (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) Moje niedomowienie.

@sopel mógłbyś mi wytlumaczyc ten mechanizm. Nie jestem pewien czy dobrze Cię zrozumiałem.
Chodzi ci oto, że generujemy id, zapisujemy w bazie i to samo id do ciastka? POtem tylko porownujemy? A gdy sie koles tak zaloguje to znowu zmieniamy?

[wozniak]

ok. czyli robie tak:

[PHP] pobierz, plaintext 
<?php
// to oczywiscie bedzie z formularza
$login= "login"; 
$haslo= "haslo";
 
$zapytanie = sql("SELECT * FROM ".$prefix."kontrahenci WHERE kontrahenci_login='$login' ");    
while ($rekord = mysql_fetch_array($zapytanie)) 
  {   
$kontrahenci_haslo = $rekord['kontrahenci_haslo'];
if($haslo == kontrahenci_haslo){
setcookie('login', '$login');
setcookie('haslo', '$haslo');
}
}
 
?>
[PHP] pobierz, plaintext 

A pozniej za kazdym razem sprawdzac tak samo tylko login i hasło z cookies?
I oczywiscie w md5() wrzuce haslo tylko jak pozniej wysłac uzytkownikowi hasło ktore jest zakodowane md5()?

Ten post edytował wozniak 4.03.2006, 13:59:06

[Levabul]

Chodzi ci oto, że generujemy id, zapisujemy w bazie i to samo id do ciastka? POtem tylko porownujemy? A gdy sie koles tak zaloguje to znowu zmieniamy?

Jeżeli tak to na identycznej zasadzie działa ta klasa sesji (napisana dawien dawno pod mini serwis (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) )

[PHP] pobierz, plaintext 
<?php
define ('SESSION_TIME', 3600);
 
class session {
 
	var $session_id;
	var $values = array ();
	var $insert = 0;
 
	function session () {
		if (strlen($_COOKIE['session_id']) == 32) {
			$this -> session_id = $_COOKIE['session_id'];
			setCookie ('session_id', $this ->session_id, time()+ SESSION_TIME);
			$query = mysql_query ("SELECT `values` FROM sessions WHERE `id` = '{$this -> session_id}'");
			$row = mysql_fetch_array ($query);
			$this -> values = unserialize ($row['values']);
		}
		else {
			$this -> session_id = md5 (time ());
			setCookie ('session_id', $this -> session_id, time()+ SESSION_TIME);
			$this -> insert = 1;
		}
	}
 
	function getValue ($name){
		return $this -> values [$name];
	}
 
	function setValue ($name, $str) {
		$this -> values [$name] = $str;
	}
 
	function sessionClose () {
		$values = serialize ($this -> values);
		$time = time ();
		$maxTime = $time - SESSION_TIME;
		if ($this -> insert)
			mysql_query ("INSERT INTO `sessions` (`id`, `values`, `time`) VALUES ('{$this -> session_id}', '$values', '$time')");
		else
			mysql_query ("UPDATE `sessions` SET `values`='$values', `time` = '$time' WHERE `id` = '{$this -> session_id}'");
		mysql_query ("DELETE FROM `sessions` WHERE `time` < '$maxTime'");
	}
 
}
?>
[PHP] pobierz, plaintext 

Clasa zapisuje dane z sesji do bazy jako zserializowana tablica, a po przejściu na inną stronę i załadowaniu sesji (jeżeli ta istnieje) dane są pobierane z bazy i odserializowane. Bardzo łatwo zrobić za jej pomocą takie logowanie ...

Ten post edytował Levabul 4.03.2006, 15:01:12

[wozniak]

Mam teraz taki problem jak mam hasło zapisane md5 i uzytkownik zapomni hasło to jak mam mu je wysłac?jak odkodowac?Chyba nie da sie tak? jedyna mozliwosc to utworzenie nowego i wysłanie.

[nospor]

hasło zapisane md5 i uzytkownik zapomni hasło to jak mam mu je wysłac

Wyslij mu hasha, następny razem będzie pamiętać by nie zapomnieć (IMG:http://forum.php.pl/style_emoticons/default/laugh.gif)
a na poważnie

jedyna mozliwosc to utworzenie nowego i wysłanie.

Dokładnie (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) Dobrze by było, że gdy tylko koleś zaloguje się na to haslo, wyskoczyl mu komuniakt, ze musi je zmienic na swoje.

[sobstel]

Nie jestem pewien czy dobrze Cię zrozumiałem. Chodzi ci oto, że generujemy id, zapisujemy w bazie i to samo id do ciastka? POtem tylko porownujemy? A gdy sie koles tak zaloguje to znowu zmieniamy?

dokladnie tak jak napisales. oczywiscie dobrze by bylo tez trzymac identyfikator albo login samego usera albo cokolwiek po czym go zidentyfikujemy (mozna i bez tego, ale musimy dbac zeby id w bazie bylo unikalne). samo id jest tylko zwyklym zabezpieczeniem.

mechanizm jest praktycznie bliznaczy do tego z zapisywaniem do hasla loginu i zhashowanego hasla - mi sie po prostu nie podoba fakt uzywania do tego hasla (nawet zahashowanego).

[nospor]

To rozwiązanie jest powiedzmy ciut lepsze od trzymania hasha hasla, ale tylko w przypadku gdy za kazdym razem generujemy to id. Ale jak pisalem tylko ciut lepsze i nie wiem gdzie to jest stosowane. Jesli jakiś serwis bardzo chce miec bezpiecznie, to wogole nie udestępni opcji zapamiętywania.
Wadą takiego rozwiązania jest to, że np.:
zapamiętasz się na jednym kompie/przeglądarce. Za jakis czas zapamietasz sie na innym kompie/przegladarce (powiedzmy komp w pracy i w domu). No i jak się zalogujesz spowrotem na pierwszym, to juz nie wejdziesz z automata, bo identyfikator juz bedzie inny. Takie szukanie dziury w całym (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

[wozniak]

Zrobiłem takie logowanie:
Logowanie:

[PHP] pobierz, plaintext 
<?php
if(isset($login) &&($haslo)){
$query = sql("SELECT kontrahenci_login FROM ".$prefix."kontrahenci WHERE kontrahenci_login='$login'");    
$rekord = mysql_num_rows($query);
 
if($rekord == '1' ){
 
$ip = $_SERVER[ 'REMOTE_ADDR' ];
session_start();
$_SESSION['login']    = $login;
$_SESSION['haslo']    = $haslo;
$_SESSION['ip']    = $ip;
 
print("Zalogowany jako $login z ip:$ip");
echo '<br /><a href="1.php?pic=dodaj&PHPSESSID='.session_id().'">strona 2</a>';
}
}
?>
[PHP] pobierz, plaintext 

Sprawdzenie czy zalogowany:

[PHP] pobierz, plaintext 
<?php
session_start();
 
if(isset($_SESSION['login'])&& ($_SESSION['haslo'])){
$ipa = $_SERVER[ 'REMOTE_ADDR' ];
$dwa = $_SESSION['ip'];
if($ipa == $dwa){
$login = $_SESSION['login']; $haslo = $_SESSION['haslo'];
$query = sql("SELECT kontrahenci_login FROM ".$prefix."kontrahenci WHERE kontrahenci_login='$login'");    
$rekord = mysql_num_rows($query);
 
if($rekord == '1' ){
print("ok3245");
echo '<br /><a href="1.php?pic=test&PHPSESSID='.session_id().'">strona 2</a>';
 
}
}
}
?>
[PHP] pobierz, plaintext 

Dodałem do sesji IP bo jak ktos by dał link innej osobie to tamta osoba od razy była by zalogowana.

Ten post edytował wozniak 14.03.2006, 01:22:04

[nospor]

[PHP] pobierz, plaintext 
<?php
$query = sql("SELECT kontrahenci_login FROM ".$prefix."kontrahenci WHERE kontrahenci_login='$login'");    
 
?>
[PHP] pobierz, plaintext 

Logujesz uzytkownika tylko na podstawie loginu. a co z haslem? Widze, ze w ifie sparawdzasz istnienie hasla, ale w zapytaniu juz go olałeś. ciut niebezpiecznie.

[wozniak]

Zapomniałem dodac;)Ale takie logowanie moze byc?

[nospor]

moze byc. oczywiscie zalezy jeszcze jak dodasz do tego haslo (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

w tym miejscu powiem jeszcze, ze jesli to jest zwykly serwisik, bez większego bezpieczenstwa, to jesli koles jest juz zalogowany i ma to w sesji, to w zasadzie nie musisz sprawdzac jeszcze raz w bazie. troche po php programmerze pojechalismy w tej kwestii, ale mowiliśmy tam o serwisach wymagających większego bezpieczenstwa, aczkolwiek jawnie nie powiedziano o tym. jesli php programmer mial na mysli takie proste aplikacje, to faktycznie nie trzeba biegac ciągle do bazy. kwestia podejscia do bezpieczenstwa w danej aplikacji