System logowania - kilka pytań Opcje

[akurczyk]

Napisałem prosty system logowania oparty na 3 plikach index.php (dla gościa: formularz logowania, dla użytkownika: możliwość wylogowania), zalogowanie.php i wylogowanie.php.
I w związku z tym mam kilka pytań:
1. Jak zrobić takie logowanie jak na tym forum. Co na nie wejdę to jestem zalogowany.
2. Jak zrobić time outy?
3. Jak zrobić listę zalogowanych użytkowników (uwzględniając time outy itp.)?

Pliki:
index.php:

[PHP] pobierz, plaintext 
<?php
 if(isset($_SESSION['zalogowany']) && $_SESSION['zalogowany'] == "tak") {
   echo "<form..."; //Formularz
 } else {
   echo "<a href..."; //Link do wylogowanie.php
 }
 ?>
[PHP] pobierz, plaintext 

zalogowanie.php:

[PHP] pobierz, plaintext 
<?php
 session_start()
 //W tym miejscu połączenie z db
 if(isset($_POST['zaloguj_sie']) && isset($_POST['login']) && !empty($_POST['login']) && isset($_POST['haslo']) && !empty($_POST['haslo'])) {
   $zapytanie = mysql_query("SELECT * FROM uzytkownicy WHERE login='".addslashes($_POST['login'])."' AND haslo='".addslashes($_POST['haslo'])."'");
   if(mysql_num_rows($zapytanie) == 1) {
	 while($wiersz = mysql_fetch_array($zapytanie)) {
	   $_SESSION['zalogowany'] == "tak";
	   $_SESSION['id'] == $wynik['id'];
   }
 }
header("Location: index.php");
 ?>
[PHP] pobierz, plaintext 

wylogowanie.php:

[PHP] pobierz, plaintext 
<?php
 session_start();
 if(isset($_GET['zalogowany']) && $_SESSION['zalogowany'] == "tak") {
   session_unset();
   session_destroy();
 }
 header("Location: index.php");
 ?>
[PHP] pobierz, plaintext 

Proszę o odpowiedzi na wcześniej zadane pytania i sugestie dotyczące mojego systemu logowania.
PS: Może połączyć kody plików zalogowanie.php i wylogowanie.php? Tylko niewiem jak nazwać plik z połączonym kodem?

[Berg]

Musisz ustawić czas życia sesji :

[PHP] pobierz, plaintext 
<?php
 
if(!empty($_COOKIE[session_name()])) {
   $time = 3600;  // Ustawienie sesji na 1h
 
   session_set_cookie_params($time);
   session_start();
   setcookie(session_name(), session_id(), date('U') + $time, "/"); // ciasteczko sesji będzie ważne przez godzinę od chwili uruchomienia skryptu
}
else { // Ciasteczko nie istnieje więc użytkownik był nieakatywny przez jedną godzinę
   echo 'Zaloguj się pod <a href="logowanie.php">tym</a> adresem.';
}
?>
[PHP] pobierz, plaintext 

Wrzucasz coś takiego do każdego pliku, jeśli istnieje ciasteczko z kluczem sesji to ustawiasz czas życia ciasteczka za pomocą session_set_cookie_params, odpalasz sesje i modyfikujesz ciasteczko tak aby data jego istnienia wynosiła 1 godzinę od chwili uruchomienia skryptu (date('U') + $time). Jeśli użytkownik nie uruchomi żadnego skryptu przez jedną godzinę to ciasteczko przestanie istnieć, nie będzie więc można wystartować sesji i użytkownik będzie musiał się zalogować jeszcze raz. Co do listy aktywnych użytkowników to możesz przy każdym wywołaniu skryptu wpisywać do bazy danych datę ostatniej aktywności użytkownika, potem pobierasz z bazy danych nazwy tylko tych użytkowników których data ostatniej aktywności jest nie większa niż 1h.

[akurczyk]

a jak w takim wypadku wyglądał by kod pliku logowania?

[Berg]

[PHP] pobierz, plaintext 
<?php
 //W tym miejscu połączenie z db
 if(isset($_POST['zaloguj_sie']) && isset($_POST['login']) && !empty($_POST['login']) && isset($_POST['haslo']) && !empty($_POST['haslo'])) {
   $zapytanie = mysql_query("SELECT * FROM uzytkownicy WHERE login='".addslashes($_POST['login'])."' AND haslo='".addslashes($_POST['haslo'])."'");
   if(mysql_num_rows($zapytanie) == 1) {
	 while($wiersz = mysql_fetch_array($zapytanie)) {
 
	   $time = 3600;
	   session_set_cookie_params($time);
	   session_start();
	   setcookie(session_name(), session_id(), date('U') + $time, "/");
 
	   $_SESSION['id'] == $wynik['id'];
   }
 }
header("Location: index.php");
 
?>
[PHP] pobierz, plaintext 

Przy wylogowaniu wystarczy ustawić czas życia ciasteczka na ujemny a sesja zostanie zniszczona:

[PHP] pobierz, plaintext 
<?php
 session_start();
 if(!empty($_COOKIE[session_name()])) {
 
	session_unset();
	session_destroy();
	setcookie(session_name(), 'del', date('U') - 100, "/");
 }
 header("Location: index.php");
 ?>
[PHP] pobierz, plaintext 

[akurczyk]

a jak zrobić wieczne zalogowanie tak jak jest na tym forum??

[wlamywacz]

cookes" title="Zobacz w manualu PHP" target="_manual

[koirat]

Czesto jak sie loguje na jakimś serwisie to mam w adresie parametr identyfikujacy mnie cos w stylu numer sesji albo jakis hash code. Po co sie to robi. Daje mi to jakies dodatkowe zabezpieczenie, nie mozna tego zrobić po prostu za pomoca sesji i już żadnych parametrow w adresie nie miec ?

[Berg]

Logowanie oparte na cookies ma jedną wadę - użytkownik może je wyłączyć przez co nie będzie mógł się zalogować. Sposobem na przechowanie identyfikatora sesji bez potrzeby angażowania cookies jest właśnie doklejanie go do adresu.

[wlamywacz]

Berg
A bezpieczeństwo?

[Berg]

Nie napisałem, że ten sposób jest bezpieczny, jeśli użytkownik podaje linka z takim identyfikatorem to praktycznie oddaje swoje konto innym. Dodatkowo dochodzi problem z time-outem i SEO. Dlatego ja rozwiązania z identyfikatorami w url nie stosuje, ostatecznie nikt normalny nie wyłącza cookies