[php] problem z logowaniem, opcja pamietaj mnie Opcje

[barthek]

mozliwe ze ja to zle rozumiem, ale coz.. sytuacja wyglada nastepujaco:

skrypt logowania dziala tak, ze jezeli ktos zaznaczyl opcje 'pamietaj mnie' to tworzone jest ciasteczko z danymi potrzebnymi do zalogowania:

[PHP] pobierz, plaintext 
<?php
$dane = ($login.$haslo);
setcookie ("dane", $dane,time()+3600*24*365);
?>
[PHP] pobierz, plaintext 

nastepnym razem jak wejdziemy na strone skrypt sprawdza czy ma ustawione ciasteczko. jezeli ma to pobiera dane i probuje sie zalogowac:

[PHP] pobierz, plaintext 
<?php
if(isset($_COOKIE["dane"]))
{
$dane = $_COOKIE["dane"];
$login = substr($dane, 0, 32);
$haslo = substr($dane, -32);
}
?>
[PHP] pobierz, plaintext 

i to wszystko mi dziala! (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) problem pojawia sie przy wylogowywaniu.. mianowicie skrypt wylogowujacy wyglada tak:

[PHP] pobierz, plaintext 
<?php
setcookie ("dane", "",time()-3600*24*365);
unset($_SESSION['login']);
unset($_SESSION['haslo']);
header("location:../index.php");
?>
[PHP] pobierz, plaintext 

dodam jeszcze ze w index.php na poczatku jest wlasnie includowany kod probujacy sie zalogowac poprzez dane uzyskane z ciasteczka..

problem jest tej natury, ze po nacisnieciu wyloguj i przekierowaniu do index.php automatycznie znowu mi sie loguje (pobierajac dane z ciasteczka), mimo ze przeciez teoretycznie cisteczko stracilo waznosc.. jezeli nie zaznacze opcji 'pamietaj mnie', czyli ciasteczka w ogole nie ma to wylogowywanie przebiega bezporblemowo..

jakies pomysly co tu jest nie tak?
z gory dziekuje..

edit: JEZELI NIE WIDZICIE TU BLEDU TOPOWIEDZCIE PRZYNAJMNIEJ JAK WY TAKIE RZECZY ROZWIAZUJECIE..

Ten post edytował barthek 20.02.2006, 08:47:00

[barthek]

hymhym... Uzywasz $_SESSION do pobierania danych z ciasteczek?

nie no jasne ze nie (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) po prostu pozno posta dawalem i przez pomylke nie ta czesc kodu dalem..

co do tego problemu to juz go rozwiazalem - plik logout.php, ktory zawieral skrypt wylogowujacy, byl w innym katalogu niz index.php przez co nie potrafil zmienic daty waznosci ciasteczka (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Z tym, że gorąco zalecam dodatkowe hashowanie hasła wysyłanego w ciasteczko, bo po przechwyceniu ciastka (a przecież może się to zdarzyć) może być 'zonk'...
Np. jeśli hasło było zakodowane md5, to dodaj do tego jeszcze hashowanie sha1.

taa... probowalem dane w ciasteczku XOR'owac unikalnym kulczem 64-znakowym, ale o ile wszystko niby dziala (jak sprawdzalem w osobnym kodzie php instrukcja pod instrukcja), to juz przy kodowaniu ciasteczka i pozniejszym jego odczytaniu w pewnym momencie zle to dzialalo (np pierwsze 50 znakow bylo OK, a pozostale 14 juz bral z kosmosu..).
postanowilem wiec to zostawic.. dlaczego? poniewaz co da komus zhashowany md5 login i haslo? jak wklepie to w formularz to zostanie to ponownie zhashowane i tyle mial hasla (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

mam natomiast jeszcze jedno pytanie. teraz jezeli ktos mi sie wylogowuje (a wczesniej dal opcje 'pamietaj mnie') to usuwa ciasteczko - przez co juz go pamietac nie bedziemy (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) jak wiec zrobic, zeby po wylogowaniu sie - uzytkownik mogl sobie przegladac jeszcze strony witryny normalnie jako gosc, a po zamknieciu przegladarki i ponownym powrocie byl logowany automatycznie, czyli pamietany?