[PHP]System logowania Opcje

[sebap123]

Witam
Napisałem skrytp logowania do strony wykorzystujący sesje. Jest on wykorzystywany na stronie, gdzie chcę, aby w każdej chwili urzytkownik mógł wejść do swojego panelu i zmienić w nim dane lub coś napisać na innej stronie z dokonaniem podpisu.
No i tutaj własie nie wiem czego urzyć. Mysłałem o dwóch wyjściach, a raczej opcjach bo żadna w 100% nie spełnia wymogów:

1. Urzycie systemu sesji i w adresie strony przesylanie zapisanego w bazie unikatowego numeru, jednak jest to troche nieestetyczne (zaśmieca adres strony) i urzytkownik nie może sam wprowadzić adresu do jakiejść strony (np. z linku ogolnego) bo musi mieć swój nr.
2. Urzycie cookie, tylko tutaj nie wiem do końca jak tą daną przesyłać miedzy stronami (np. znowu ten numer) jak to sprawdzać, który numer ma urzytkownik i co zrobić jak urzytkownik nie obsługuje cookie (czyli powrót do puntku wyrzej)

Wiem, że może troche zagmatwałem, ale proszę o pomoc bo nie wiem co zrobić.

Mysłalem też o takim pasku na ktorym będzie na każdej stronie widniał login tylko mam srednio pomysł jak tam przesyłac dane między stronami.
Chodzi o taki pasek jak jest nawet na tym forum.

[Solimo]

Sesja przekazuje w url, czyli adresie SID czyli session id lub można tez zapisać go do cookie które zostaje wysłane do użytkownika. Polecam ten drugi sposób. Aby zmienić to "ustawienie" możesz np. edytować php.ini. Jednak SID w cookie może być jakoś ukradziony. Warto wtedy zapamiętać np. w bazie danych dane z tablicy SERVER np. user agent i host. I sprawdzać czy są one takie same. Można również użyć session_regenerate_id() co zmniejszy szansę na kradzież sesji - poczytaj w manualu. W sesji trzymaj np user_id z bazy i sprawdzaj czy ktoś jest zalogowany bo ma id usera czy też nie.

Co do drugiego pytania to potnij www na header.php body.php footer.php a następnie za pomocną require/include (znowu manual) pobieraj je w odpowiedniej kolejności. Body zrób generowane dynamicznie, np. jeżeli brak sesji to strona logowania jeżeli sesja jest to cos innego. I teraz w header możesz dać taki pasek i on będzie w każdej stronie bo tylko body się zmienia - oczywiscie sprawdzaj czy pasek powinien być wyświetlony czyli czy w sesji sa odpowiednie dane o user id. To takie najbanalniejsze rozwiązanie.

Ten post edytował Solimo 19.09.2009, 08:04:11

[sebap123]

A który z tych dwóch systemów (sesje czy cookie) jest bezpieczniejszy. Bo jak tak sobie pocztalem to jednak łatwiej będzie operowac ciasteczkami bo jest to nieco prostsze, a sesje wymagają według mnie więcej zabawy. Pozatym wiele dużych serwisów korzysta z ciateczek tylko.
No ale jak z bezpieczeństwem bo to też ważne.

[fander]

używa się tylko sesji, ciasteczko służy do przekazywania identyfikatora sesji.

Ten post edytował fander 23.09.2009, 15:05:47

[Berg]

Ogólnie żadna z tych metod nie jest bezpieczna jeśli sesji dodatkowo nie zabezpieczysz (np. zabezpieczenie strony przed xss, dodatkowy klucz autoryzacyjny w bazie danych, skrócony czas trwania sesji odświeżany po jakiejkolwiek aktywności użytkownika). Ogólnie sesje przekazywane przez url są w moim odczuciu mniej bezpieczne (ostatecznie wystarczy użyszkodnik z snifferem w sieci i SID już jest znany). Dodatkowo przy przekazywaniu sesji przez url nie będziecie się lubić z Google

[sebap123]

używa się tylko sesji, ciasteczko służy do przekazywania identyfikatora sesji.

To mi bardzo pomogło. Jednak teraz mam innego typu pytanie.
Rozumiem, że sejsa (a raczej jej identyfikator) przesyłany jest w ciasteczku. W sesji zalózmy jest login i jakaś dodatkowa informacja o użytkowniku. Strona sprawdza za każdym razem czy taki identyfikator został umieszczony i go "uruchamia".
Tylko teraz pytanie, skąd skrypt ma wiedzieć jaka sesja komu odpowiada bo tego jakoś jeszcze nie widze (czyli jak w cisteczku umieścić żeby zapisana była dana sesja i żeby potem skrypt sprawdzil co ma zrobić z tą sesją).

[Berg]

session-start, polecam przeczytanie całego działu w manualu dotyczącego sesji.

[sebap123]

Przeglądam manuala, ale wydaje mi się, że wystarczy użyć session id (oczywiście oprocz session start). Jednak caly czas średnio rozumiem jedną rzecz.
Użytkownik loguje się do systemu, session id się tworzy. Potem wchodzi na jakąś inną stronę tego portalu jako zalogowany. Normalnie bez SID używałem GET i zmienna w adresie. Bo w tej zmiennej był np. login czy numer użytkownika, przy pomocy którego byla sprawdzana i pobierana z bazy danych reszta danych (taka jak uprawnienia). Teraz jednak nie wiem jak to zrobić bo wypiszę czy podepnę SID do zmiennej i jak sprawdzić co ta sesja zawiera, czyli jak z niej pobrać umieszczony np. login.

[Berg]

Ale jaki masz dokładnie problem? Sprawdzasz czy sesja istnieje, czy ustawione są poprawne dane, jeśli nie to przekierowujesz użytkownika na stronę logowania i dopisujesz odpowiednie dane.

Dane do sesji zapisujesz za pomocą

[PHP] pobierz, plaintext 
$_SESSION['zmienna'] = 'dane';
[PHP] pobierz, plaintext 

potem odczytujesz wywołując

[PHP] pobierz, plaintext 
$_SESSION['zmienna']
[PHP] pobierz, plaintext 

Jeśli sesja się przedawniła (np. czas życia ciasteczka się skończył, użytkownik się wylogował) to $_SESSION['zmienna'] nie będzie istniała, np.

[PHP] pobierz, plaintext 
if(isset($_SESSION['login'])) {
   echo 'sesja istnieje, użytkownik jest zalogowany';
}
else {
   // Przekierowuje użytkownika do logowania gdzie po poprawnej autoryzacji zostanie ustawiona zmienna $_SESSION['login']
}
[PHP] pobierz, plaintext 

[sebap123]

No dzięki za radę sprawdzę to i dam znać.

Dobra cos tam popisałem i wyszedl mi kod:

[PHP] pobierz, plaintext 
if (isset ($_POST['submit']))
{
$login = $_POST['login'];
$query = mysql_query("SELECT * FROM Uzytkownicy WHERE login = '$login' ");
$fetch = mysql_fetch_array($query);
$getlist="Select * from Uzytkownicy order by id ASC";
$getlist2=mysql_query($getlist) or die ("Could not get list");
$getlist3=mysql_fetch_array($getlist2);
$usr = $getlist3['au_code'];
$id = $getlist3['id'];
$koniec = 'usr='.$usr;
$link = 'admin.php?'.$koniec;
if ( $fetch ) // jesli user zostanie znaleziony w bazie
{
if ( md5( $_POST['password'] ) == $fetch['haslo'] ) // jesli haslo sie zgadza
{
session_start();
if ($fetch['status'] == 0)
{
print "Twoje konto nie jest aktywne";
}
if ($fetch['status'] == 1)
{
$_SESSION['login'] = "$usr";
print 'logowanie normalne zakonczone sukcesem<br>';
print 'Zalogowany';
print '<a href="sender.php">Klik</a>';
}
if ($fetch['status'] != 0 && $fetch ['status'] != 1)
{
$_SESSION['login'] = "$usr";
print 'logowanie specjalne zakonczone sukcesem<br>';
print "Zalogowany<br>";
print '<a href="admin.php">link</a><br>'; 
}
}
else
{
print 'Przykro mi, ale podane haslo jest bledne';
}
}
else
{
print 'Podany uzytkownik nie istnieje w bazie danych';
}
}
else
{
print "Blad";
}
?>
[PHP] pobierz, plaintext 

A na stronie na która jest broniona hasłem jest taki kod:

Kod który sprawdza:

[PHP] pobierz, plaintext 
if (isset ($_SESSION['login']))
{
$id = htmlspecialchars ($usr);
$query = mysql_query("SELECT * FROM Uzytkownicy WHERE id = '$id' ");
$fetch = mysql_fetch_array($query);
$getlist="Select * from Uzytkownicy order by id ASC";
$getlist2=mysql_query($getlist) or die ("Could not get list");
$getlist3=mysql_fetch_array($getlist2);
if ( $fetch )
{
$imie = $getlist3['imie'];
$status = $getlist3['status'];
}
else
{
print "nie znaleziono usera";
}}
[PHP] pobierz, plaintext 

Wlasciwa strona:

[PHP] pobierz, plaintext 
<?php
include "includes/base.php";
if ($status != 1 && $status !=0)
{
?>
//dalej kod HTML
[PHP] pobierz, plaintext 

No i jak się loguje jako admin (czyli spełniam wszystkie wymagane warunki) to jak by nie łapie sesji i odrazu mnie wurzuca na strone błędu. Dokładniej rzecz biorąc wyświetla się hasło "logowanie specjalne zakończone sukcesem" ale potem jak używam linku do panelu admina to nie widzi już, że jestem zalogowany.

Bardzo prosze o pomoc

[Berg]

A o session_start przed ustawieniem zmiennej sesyjnej i przed jej odczytaniem przez przypadek nie zapomniałeś?

[sebap123]

To tam gdzie uważałem, że powinno byc session_start to dodalem teraz:

[PHP] pobierz, plaintext 
if ( $fetch ) // jesli user zostanie znaleziony w bazie
{
if ( md5( $_POST['password'] ) == $fetch['haslo'] ) // jesli haslo sie zgadza
{
session_start();
if ($fetch['status'] == 0)
{
print "Twoje konto nie jest aktywne";
}
if ($fetch['status'] == 1)
{
session_start();
$_SESSION['login'] = "$usr";
print 'logowanie normalne zakonczone sukcesem<br>';
print 'Zalogowany';
print '<a href="sender.php">Klik</a>';
}
if ($fetch['status'] != 0 && $fetch ['status'] != 1)
{
session_start();
$_SESSION['login'] = "$usr";
print 'logowanie specjalne zakonczone sukcesem<br>';
print "Zalogowany<br>";
print '<a href="admin.php">link</a><br>'; 
}
}
else
{
print 'Przykro mi, ale podane haslo jest bledne';
}
[PHP] pobierz, plaintext 

[PHP] pobierz, plaintext 
<?
session_start();
require_once "includes/connect.php";
if (isset ($_SESSION['login']))
{
$id = htmlspecialchars ($usr);
$query = mysql_query("SELECT * FROM Uzytkownicy WHERE id = '$id' ");
$fetch = mysql_fetch_array($query);
$getlist="Select * from Uzytkownicy order by id ASC";
$getlist2=mysql_query($getlist) or die ("Could not get list");
$getlist3=mysql_fetch_array($getlist2);
if ( $fetch )
{
$imie = $getlist3['imie'];
$status = $getlis
[PHP] pobierz, plaintext 

Jednak cały czas nie działa:(

[Berg]

Jedno session_start na początku każdego pliku przed wysłaniem jakiegokolwiek html'a....

[sebap123]

No i nadal nic.
Umieściłem session_start na początku każdej ze stron (oprócz strony, która łączy się z bazą i tej na ktorej jest panel logowania) i nic nie chce działać. Caly czas jest tak jak by tracił w jakims momencie sesję i dane o użytkowniku ale nie mam zupełnie pojecia kiedy.

[Berg]

Odpal raportowanie wszystkich błędów bo z tego co widzę to masz je wyłączone. Pamiętaj że przy logowaniu też musi być odpalona sesja.

[sebap123]

Dobra już wszędzie uruchamiam sesje i nadal nic.

A co do tego raportowania błędów to musisz mi powiedzieć jak to zrobic bo nigdy tego nie używałem i nie weim jak to zrobić.

[Berg]

Błagam, trochę własnej inwencji...
Raportowanie błędów
Ustaw najlepiej E_ALL i podrzuć co Ci tam php wypluwa.

[!*!]

Poza tym, co to jest:

Kod

if ( $fetch )
{

Przy logowaniu sprawdź czy login i hasło się zgadza, jeśli tak, ustaw sesję np. $_SESSION['logowanieok'] na 1. A później w każdym pliku sprawdzaj czy takowa sesja istnieje, do tego ustaw czas trwania sesji na np. 20 minut

Kod

if(($_SESSION['czaslogowania']+$mozliwyczaslogowania)<time

Dodatkowo możesz do sesji dopisać IP, useragenta czy jakieś losowe liczby.

[sebap123]

Kod

Notice: A session had already been started - ignoring session_start() in /home/.../public_html/pk/includes/base.php on line 4

Notice: Undefined variable: usr in /home/.../public_html/pk/includes/base.php on line 8

Notice: Undefined variable: status in /home/.../public_html/pk/admin.php on line 6

Notice: Undefined variable: status in /home/.../public_html/pk/admin.php on line 6

No teraz mniej więcej wiem o co chodzi.
Rzeczywiście jest bląd z pobraniem zmiennej status która sprawdza czy użytkownik jest zalogowany dlatego przenosi na strone błędu logowania.
Czyli ogólnie nie chce pobrac żadnej zmiennej z sesji.

Oto fragmenty kodu:
admin:

[PHP] pobierz, plaintext 
session_start();
include "includes/base.php";
if ($status != 1 && $status !=0)
{
[PHP] pobierz, plaintext 

base.php:

[PHP] pobierz, plaintext 
session_start();
require_once "includes/connect.php";
if (isset ($_SESSION['login']))
{
$id = htmlspecialchars ($usr);
[PHP] pobierz, plaintext 

Możecie mi teraz coś podpowiedzieć bo cały czas chyba chodzi o to samo czyt. przekazywanie danych.

[!*!]

Dlaczego chcesz sprawdzać czy zmienna $status ma wartość inną niż 1 i jednocześnie inną niż 0? Nie sprawdzaj czy sesja istnieje poprzez isset, tylko sprawdź czy odpowiednia jest zawartość jaką jej nadałeś.

Ten post edytował !*! 26.09.2009, 21:26:06