Skrocic czas dzialania sesji... Opcje

[adeq_PL]

Witam!!

Hmm.. widze, ze zainteresowanie moim poprzednim tematem (http://forum.php.pl/index.php?showtopic=40840) jest takie sobie... Ale moze to was troche ruszy do dzialania.

Kiedy wlaczam przegladarke wyskakuje okienko logowania i jest ok. Wpisuje login haslo jesli dobrze to przechodze do odpowiedniej podstrony. Nastepnie daje "Wyloguj" i wtedy wracam do pulpitu logowania i tu sie pojawia problem bo kiedy daje w przegladarce cofnij to sie mi wyswietla info ze ta podstrona stracila waznosc, ale kiedy daje odswierz pojawia sie mi znow strona, ktora powinna byc widoczna tylko po zalogowaniu. I dopiero kiedy wylacze przegladarke i wlacze na nowo to dopiero znow ta chroniona czesc jest niedostepna...

Jak tego uniknac? Co mam dodac w kodzie?

Aha i jeszcze niekiedy mam widoczny sid w okienku adresowym...

Da sie o jakos usunac?

Slyszaszalem, ze ciastka sa dobrym sposobem na zabezpieczenie strony, tylko nie bardzo wiem na czym to polega...

Moglby mi ktos wyjasnic jak w moim kodzie moglbym wykorzystac ciastka?

Ten post edytował adeq_PL 26.01.2006, 17:12:53

[tiraeth]

Jeżeli twoja przeglądarka ma wyłączoną obsługę COOKIES to identyfikator sesji (domyślnie) przetrzymywany jest w pasku adresu i przesyłany GET'em. Możesz włączyć obsługę cookies, wtedy identyfikatora sesji nie będzie w pasku adresu, będzie on pobierany z COOKIES'ów.

Jeżeli po wylogowaniu się, używasz session_destroy() to sesja jest usuwana z katalogu serwera, inaczej sesja ta pozostaje. Serwer ma funkcję Garbage Collector, który usuwa sesje nie zaktualizowane przez ostatnie, bodajże, 24 godziny. Jeżeli w ciągu tych 24 godzin, ktoś przejmie identyfikator niewylogowanego użytkownika to jest niebezpieczeństwo przejęcia kontroli nad aplikacją. Można tego uniknąć, jeżeli użytkownik ma włączone ciastka w przeglądarce, wtedy wyciągnięcie identyfikatora sesji będzie nieco trudniejsze. Wtedy sesja przepada w momencie zamknięcia przeglądarki, więc identyfikatora już nie wyciągniesz, wtedy po 24 godzinach Garbage Collector usuwa tą sesję.

Ewentualnie można skorzystać z własnego mechanizmu przetrzymywania sesji, co daje większe bezpieczeństwo, tj. możesz sprawdzać czy IP jest identyczne z tym, którego użyto podczas przetwarzania skryptu logowanie, czy identyfikator przeglądarki jest ten sam itd. Artykułów na temat tworzenia własnego Session Handlera jest wiele w internecie (nawet na php.pl jest) więc radzę zapoznać się z nimi

[adeq_PL]

Ale przeciez ja mam napisana funkcje unset($_SESSION['logadm']); , ktora jest odpowiednikiem session_destroy(); , pomimo to i tak dajac cofnij i odswierzajac strone pojawia sie mi zastrzezona zawartosc.

[PHP] pobierz, plaintext 
<?php
include('conf_adm.php');
 
 
  if(isset($_POST['logadm'])) {
 
  $dane = @mysql_query('SELECT login, password FROM admin WHERE login = "'.$_POST['loginadm'].'" AND password= "'.$_POST['passadm'].'"') or die(mysql_error()); 
    
    
    if(mysql_num_rows($dane) == 1) {
        $_SESSION['logadm'] = 'ok';
    } 
        else {
        $_SESSION['logadm'] = '<P class=blad>Błędny login lub hasło!';
    }
    
    unset($_POST['logadm']);
  }
 
 
  if(isset($_POST['unlogadm'])) {
 
   // w tym miejscu jest funcja kasujaca sesje    
 
    unset($_SESSION['logadm']);
    
    //unset($_POST['unloaddm']);
  }
 
 
 
 
function logadm() {
 
    
    if($_SESSION['logadm'] == 'ok') {
 
 
    $string  = '<form action="'.getenv(REQUEST_URI).'" method="post">';
        $string .= '    <input type="submit" name="unlogadm" value="Wyloguj" />';
       $string .= '</form>';
       
    } 
 
 
        else {
    $string  = '<form action="'.getenv(REQUEST_URI).'" method="post">';
       $string .= '    <ul style="list-style-type: none; margin: 0; padding: 0;">';
       
 
 
       if(isset($_SESSION['logadm']))
 
        $string .= '<li>'.$_SESSION['logadm'].'</li>';
       $string .= '<li><P class=normal>Login: <input type="text" name="loginadm" style="width: 130px"/></li>';
       $string .= '<li><P class=normal>Haslo: <input type="password" name="passadm" style="width: 130px"/></P></li>';
       $string .= '<li><input type="submit" name="logadm" value="Logowanie" /></li>';
       $string .= '</ul>';
       $string .= '<BR><TABLE align=center class=haslo CELLPADDING="0" CELLSPACING="0"><TR><TD  ALIGN=center>';
        $string .= '<a href=admin_instal_adm.php>instalacja bazy</A>&nbsp;';
       $string .= '</TD><TD ALIGN=center><P class="title">|</P>';
    $string .= '</TD><TD ALIGN=center>&nbsp;<a href=admin_instal_adm.php>help</A>';
    $string .= '</TD></TR></TABLE>';
    $string .= '</form>';
 
 
 
        }
    
    return $string;
    
}
 
 
?>
[PHP] pobierz, plaintext 

Czy to prawidlowa reakcja przegladarki?


OK Juz nie aktualne! Zrobilem tak, ze nie wyswietla zakaznej zawartosci.
Nie wiem jak to sie stalo ale wystarczylo zmienic :

Kod

    $string  = '<form action="'.getenv(REQUEST_URI).'" method="post">';
        $string .= '    <input type="submit" name="unlogadm" value="Wyloguj" />';
       $string .= '</form>';

na

Kod

$string .= '<A name="unloginst" href='.getenv(REQUEST_URI).'>wyloguj</A>';

i wszystko gra

Ten post edytował adeq_PL 26.01.2006, 21:54:56

[mike]

Ale przeciez ja mam napisana funkcje unset($_SESSION['logadm']); , ktora jest odpowiednikiem session_destroy();

Jesteś w błędzie.

Sesja a dane jakie ona przechowuje to dwie różne rzeczy.
Możesz usunąć wszelkie dane z sesji (za pomocą unset()) ale to nadal będzie ta sama sesja.

Sesję zakończysz uzywając session_destroy() (od razy skasujesz dane, które trzymała)