Php MySQL / Bezpieczny ale i prosty system logowania, Moze jak nikt mi za bardzo nie pomogł w ostatnim moim temacie moze... Opcje

[Torriel]

Moze jak nikt mi za bardzo nie pomogł w ostatnim moim temacie moze... teraz poradzicie chociarz jak zrobić najbanalniejszy system logowanie lecz by byl w miare bezpieczny tzn jak sie wyloguje i klikne pare razy wstecz to wracam znow do panelu kiedy belem zalogowany chodzi mi zeby taka sytuacja nie mogla zaistniec na zadnej przegladarce... (Problem z wstecz poruszylem juz wczesniej lecz jedna osoba odpisala i nie za bardzo mi to pomoglo...) Poradzcie... prosze...

[dem]

logowanie na sesjach w kilku krokach bez opisu dzialan na mysql czy co tam uzywasz:

1 logujesz sie -> jest ok:
- nadajesz np.

[PHP] pobierz, plaintext 
<?php
$_SESSION['auth']['in'] = TRUE;
?>
[PHP] pobierz, plaintext 

2. na kazdej stronie ktora ma byc chroniona sesja sprawdzasz sobie wartość

[PHP] pobierz, plaintext 
<?php
if ( $_SESSION['auth']['in'] != TRUE ) {
  session_destroy();
  /*przekierowanie do formularza*/
} 
else {
  /* kod chroniony przez sesje */
}
?>
[PHP] pobierz, plaintext 

3. wylogowanie np:

[PHP] pobierz, plaintext 
<?php
if ($_GET['id'] == 'wyloguj') {
  session_destroy();
  /*przekierowanie do formularza*/
}
?>
[PHP] pobierz, plaintext 

i przekierowujesz do formularza

przydatnym jest zeby zrobic zabezpieczenie przed bezczynnoscia usera, bo sesja wygasnie tylko wtedy gdy sie wylogujesz... czyli podczas pierwszego zalogowania nadajesz np.

[PHP] pobierz, plaintext 
<?php
$_SESSION['auth']['time'] = time();
?>
[PHP] pobierz, plaintext 

a wracajac do pkt. 2 robisz wtedy np:

[PHP] pobierz, plaintext 
<?php
$SesTime = 3*60; /* 3 minuty */
 if ( $_SESSION['auth']['in'] != TRUE ) {
  session_destroy();
  /*przekierowanie do formularza*/
}
else  /* jest zalogowany caly czas wiec trzeba sprawdzic kiedy ostatnio byl zalogowany*/  {
  if ($_SESSION['auth']['time'] + $SesTime < time() ) {
	session_destroy();
	/*przekierowanie do formularza*/
  }
  else {
	$_SESSION['auth']['time'] = time(); /* przedluzenie zycia sesji*/
	/* tutaj juz głowna cześć kodu ktory chroniony jest haslem */
  }
 
}
?>
[PHP] pobierz, plaintext 

jesli cie nie interesuje powiadomienia usera dlaczego zostal wylogowany i nie ma wiecej dostepu do danych chronionych haslem to polacz all w calosc:

[PHP] pobierz, plaintext 
<?php
$SesTime = 3*60; /* 3 minuty */
if ( ($_SESSION['auth']['in'] != TRUE) || ($_SESSION['auth']['time'] + $SesTime < time()) || ($_GET['id'] == 'wyloguj') ) {
   session_destroy();
   /*przekierowanie do formularza*/
  }
else { 
	$_SESSION['auth']['time'] = time(); /* przedluzenie zycia sesji*/
	/* tutaj juz głowna cześć kodu ktory chroniony jest haslem */
   }
?>
[PHP] pobierz, plaintext 

pisane z palca wiec pewnie zawiera literowki, jakies braki etc..zwlaszcza ze jest 2 w nocy :S

to nie jest idealna metoda, ale jak dla mnie skuteczna :E ktos to moze skrytykowac ale masz okrojony schemat dzialania sesji by dem :S

edit: nie zapomnij ze kada strona chroniona sesja musi miec na poczatku

[PHP] pobierz, plaintext 
<?php
session_start();
?>
[PHP] pobierz, plaintext 

pozdrawiam i mam nadzieje ze wg. mojego aktualnego toku myslenia i analizowania (padam na nos) dobrze zrozumialem o co pytales odnosnie sesji... mam nadzieje ze pomoglem chociaz w jednej malej rzeczy (IMG:http://forum.php.pl/style_emoticons/default/biggrin.gif)

edit2:
cos przegladalem twoje posty i z tego co zrozumialem gosciu po kliknieciu wstecz nie moze byc zalogowany... no to masz :S

Ten post edytował dem 7.11.2007, 02:18:23