[PHP] Prosty sposób na uwierzytelnianie użytkownika Opcje

[permanent]

Witam. Mam prostą stronę w PHP z systemem logowania użytkowników, kilkanaście podstron dostępnych po zalogowaniu i wyświetlane są osobne dane dla każdego użytkownika.

Jaki jest dobry, prosty i bezpieczny sposób na uwierzytelnianie użytkownika?

Jestem początkujący w PHP i chciałbym spytać czy mój sposób jest poprawny?

Plik index.php wyświetla stronę, w nim robię include podszczególnych podstron. Na samym początku mam:

[PHP] pobierz, plaintext 
session_start();
[PHP] pobierz, plaintext 

W formularzu logowania jeżeli dane z bazą się zgadzają to podstawiam nick pod pierwszą zmienną, druga zmienna to aktualny adres IP, trzecia to informacja o zalogowaniu:

[PHP] pobierz, plaintext 
$_SESSION['user_name'] = $q_user['username'];
$_SESSION['user_ip'] = $_SERVER['REMOTE_ADDR'];
$_SESSION['user_logged'] = 'OK';
[PHP] pobierz, plaintext 

Wcześniej jeszcze mam zdefiniowaną prostą funkcję:

[PHP] pobierz, plaintext 
function check_session()
{
	session_regenerate_id();
	if($_SESSION['user_logged'] == 'OK' && $_SESSION['user_ip'] == $_SERVER['REMOTE_ADDR']) return 1;
	else return 0;
}
[PHP] pobierz, plaintext 

No dobra, teraz przed wyświetleniem strony dla użytkownika robię:

[PHP] pobierz, plaintext 
if(check_session() == 1)
{
  // wyświetlenie podstrony
}
[PHP] pobierz, plaintext 

Przykładowe dane dla użytkownika wyciągam w sposób:

[PHP] pobierz, plaintext 
$query = mysql_query('SELECT * FROM `data` WHERE `user`="'.$_SESSION['user_name'].'"');
[PHP] pobierz, plaintext 

Dodatkowo mam funkcję, która na bieżąco sprawdza czy poruszamy się na stronie (ostatni ruch). Jeżeli przez 2 godziny nie korzystaliśmy ze strony to automatycznie wylogowywuje:

[PHP] pobierz, plaintext 
function destroy_session()
{
	global $unixtime;
	if(check_session() == 1)
	{
		$expirytime = 7200;
		if(!isset($_SESSION['last_trace'])) $_SESSION['last_trace'] = $unixtime;
		else if((int)$_SESSION['last_trace'] + $expirytime < $unixtime)
		{
			$sessionName = session_name();    
			$_SESSION = array();
			if(isset($_COOKIE[$sessionName])) setcookie($sessionName, '', $unixtime - 3600, '/');
			return 1;
		}
	}
}
[PHP] pobierz, plaintext 

No i w index.php:

[PHP] pobierz, plaintext 
if(destroy_session() == 1) echo 'Zostales wylogowany ze wzgledow bezpieczenstwa';
[PHP] pobierz, plaintext 

Proszę o opinie i rady. Strona jest prosta, jednak zawiera poufne dane użytkowników i nie dopuszczam żadnego włamu na stronę. Skrypt ma być prosty i bezpieczny. Kiedyś przy logowaniu miałem session_register(...), jednak mam nową wersje PHP i tego chyba już się nie używa?

Czy cokolwiek zmienić w tym kodzie? Czy jest to na 100% bezpieczny sposób? Pozdrawiam.

[gitbejbe]

no to się podpinam, ale odnośnie logowania.

Powiem jak to wygląda z mojej strony i ciekawi mnie czy jest to też dobre rozwiązanie.
Każdą zmienną z formularza logowania owijam w htmlspecialchars.

logowanie odbywa sie poprzez podania loginu albo maila no i hasła.
Tak więc póżniej sprawdzam czy pole loginu to login czy email przez preg_match.

jesli ktoś zalogował sie po mailu to mam pewnosc ze uzyl znaków tylko dozwolonych dla maila.
jeśli ktoś logosuje się po loginie to sprawdzam też przez preg_match czy są dozwolone znaki.
to samo dla hasła.

jesli się wsio zgadza, sprawdzam w bazie czy ktoś taki istnieje i go loguje, tworząc przy tym sesje z loginem usera oraz zaszyfrowane ciastko.
ciastko składa sie z informacji o przegladarce, ip loginie i pola extra. Za kązdym załadowaniem strony sprawdzam najpierw czy istnieje sesja, później czy istnieje ciastko i czy hash, który sie w nim znajduje jest ok.
i to tyle

(IMG:style_emoticons/default/questionmark.gif)

Ten post edytował gitbejbe 20.06.2013, 06:20:20