Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> session i autowylogowywanie
kilofmar
post
Post #1





Grupa: Zarejestrowani
Postów: 70
Pomógł: 0
Dołączył: 29.11.2006

Ostrzeżenie: (0%)
-----

Witam.
Mam taki prosty system logowania w którym ustawiam czas bezczynności po jakim użytkownik automatycznie zostanie wylogowany.
I problem polega na tym że w niektórych przypadkach wylogowuje użytkowników dużo wcześniej, nie wiem od czego to zależy.
Czas sesji mam ustawiony na około 25min a czasem wylogowuje już po 5-10min

kod który za każdym przeładowaniem jest wywoływany
[PHP] pobierz, plaintext 
  1. $CzasSessi= intval($config['czas_sessi']); //25min
  2. session_set_cookie_params(60*$CzasSessi);
  3. session_start();
  4.  
  5.  
  6. if (isset($_SESSION['czas']) and $_SESSION['czas']+60*$CzasSessi<time()) { // 30 minut
  7.  session_destroy(); 
  8.  session_unset();
  9. }else {
  10. 	$_SESSION['czas'] = time();
  11. }
  12.  
  13. if (isset($_SESSION['zalogowany']) && $_SESSION['zalogowany']) {
  14. //dostęp po zalogowaniu
  15.  
  16. ...
  17. }else{
  18. //powrót do strony logowania
  19. }
  20.  
[PHP] pobierz, plaintext


Od logowania
[PHP] pobierz, plaintext 
  1. $Pass = mysql_real_escape_string(md5($_POST['password']));
  2. $Username = mysql_real_escape_string(addslashes($_POST['username']));
  3. $query = sprintf("SELECT * FROM `uzytkownicy` WHERE `login` = '%s' AND `haslo` = '%s' LIMIT 0,1", $Username, $Pass);
  4. $result = $SQL->Query($query);
  5. if ($SQL->Rows($result) > 0) {
  6. 	$_SESSION['zalogowany'] = true;
  7. }
[PHP] pobierz, plaintext


W ogóle co byście poradzili aby zwiększyć bezpieczeństwo?
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi (1 - 1)
gandziorz
post
Post #2





Grupa: Zarejestrowani
Postów: 101
Pomógł: 0
Dołączył: 20.12.2006

Ostrzeżenie: (0%)
-----

Cytat(kilofmar @ 12.06.2013, 18:05:07 ) *
Witam.
Mam taki prosty system logowania w którym ustawiam czas bezczynności po jakim użytkownik automatycznie zostanie wylogowany.
I problem polega na tym że w niektórych przypadkach wylogowuje użytkowników dużo wcześniej, nie wiem od czego to zależy.
Czas sesji mam ustawiony na około 25min a czasem wylogowuje już po 5-10min

kod który za każdym przeładowaniem jest wywoływany
[PHP] pobierz, plaintext 
  1. $CzasSessi= intval($config['czas_sessi']); //25min
  2. session_set_cookie_params(60*$CzasSessi);
  3. session_start();
  4.  
  5.  
  6. if (isset($_SESSION['czas']) and $_SESSION['czas']+60*$CzasSessi<time()) { // 30 minut
  7.  session_destroy(); 
  8.  session_unset();
  9. }else {
  10. 	$_SESSION['czas'] = time();
  11. }
  12.  
  13. if (isset($_SESSION['zalogowany']) && $_SESSION['zalogowany']) {
  14. //dostęp po zalogowaniu
  15.  
  16. ...
  17. }else{
  18. //powrót do strony logowania
  19. }
  20.  
[PHP] pobierz, plaintext


Od logowania
[PHP] pobierz, plaintext 
  1. $Pass = mysql_real_escape_string(md5($_POST['password']));
  2. $Username = mysql_real_escape_string(addslashes($_POST['username']));
  3. $query = sprintf("SELECT * FROM `uzytkownicy` WHERE `login` = '%s' AND `haslo` = '%s' LIMIT 0,1", $Username, $Pass);
  4. $result = $SQL->Query($query);
  5. if ($SQL->Rows($result) > 0) {
  6. 	$_SESSION['zalogowany'] = true;
  7. }
[PHP] pobierz, plaintext


W ogóle co byście poradzili aby zwiększyć bezpieczeństwo?

Odnośnie zapytań do bazy danych to:
1. Zamiast addslasches używaj funkcji preg_match i sam ustaw jakie znaki moga sie pojawiac, ja tez kombinowałem jak się dało i wyszło że najbezpieczniej filtrować wszystko za pomocą preg_match.
2. Używaj biblioteki PDO do bazy danych

Przy czym jeżeli opierasz logowanie na sesjach to warto by troche zmodyfikowac:
[PHP] pobierz, plaintext 
  1. if ($_SESSION['zalogowany'] == true AND $_SESSION['ip'] == $_SERVER['REMOTE_ADDR']) {
[PHP] pobierz, plaintext


Przy logowaniu:
[PHP] pobierz, plaintext 
  1. if ($SQL->Rows($result) > 0) {
  2. 	$_SESSION['zalogowany'] = true;
  3. $_SESSION['ip'] = $_SERVER['REMOTE_ADDR'];
  4. }
[PHP] pobierz, plaintext


Jednak zabezpieczenie troche slabiutkie i to nawet bardzo. Powinienes dac wiecej parametrow do walidacji. Takich jak login, haslo, id sesji, IP, przegladarka itd. Jak sesja "zalogowana" jest true to nastepnie walidacja reszty danych i porownywanie z baza danych jak wszystko okej to dopiero klient moze sobie ogladac co tam chcial.

U mnie wyglada to tak ze jezeli wszystkie wymagane sesje istnieja to zaczyna sprawdzac.
1. czy jest taki login?
2. czy haslo jest prawidlowe?
3. czy ip sie zgadza?*
4. czy przegladarka sie zgadza?*
*Podczas logowania, jezeli wpisany login i haslo jest prawidlowe to w bazie danych zapisuje aktualne IP i nastepnie porownywane jest IP klienta z tym co jest w bazie. Jak ktos przejmie sesje a bedzie uzywal innej przeglarki lub ma inne ip to i tak go wyloguje.

Mozna dac wiecej kryteriow, wszystko zalezy jak bardzo strona dla uzytkownika wymaga zabezpieczen. Hasla zabezpieczam przez dodanie ciagu znakow do hasla a nastepnie przez hashowanie SHA256. Zeby bylo bardziej "dziwnie" to w sesji haslo zapisuje tylko ciag 16 znakow z 32, "wycinam" srodek. Nastepnie dla porowania pobieram haslo z bazy, hashuje i sprawdzam czy srodkowe ciagi sie pokrywaja.

Sa rozne metody, im bardziej "wlasna" tym bezpieczniejsza (IMG:style_emoticons/default/smile.gif)
Go to the top of the page
+Quote Post
« Następny starszy · PHP · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 23.08.2025 - 21:35
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn