Forum PHP.pl

mozliwe ze ja to zle rozumiem, ale coz.. sytuacja wyglada nastepujaco:

skrypt logowania dziala tak, ze jezeli ktos zaznaczyl opcje 'pamietaj mnie' to tworzone jest ciasteczko z danymi potrzebnymi do zalogowania:

[PHP] pobierz, plaintext 
<?php
$dane = ($login.$haslo);
setcookie ("dane", $dane,time()+3600*24*365);
?>
[PHP] pobierz, plaintext 

nastepnym razem jak wejdziemy na strone skrypt sprawdza czy ma ustawione ciasteczko. jezeli ma to pobiera dane i probuje sie zalogowac:

[PHP] pobierz, plaintext 
<?php
if(isset($_COOKIE["dane"]))
{
$dane = $_COOKIE["dane"];
$login = substr($dane, 0, 32);
$haslo = substr($dane, -32);
}
?>
[PHP] pobierz, plaintext 

i to wszystko mi dziala! (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) problem pojawia sie przy wylogowywaniu.. mianowicie skrypt wylogowujacy wyglada tak:

[PHP] pobierz, plaintext 
<?php
setcookie ("dane", "",time()-3600*24*365);
unset($_SESSION['login']);
unset($_SESSION['haslo']);
header("location:../index.php");
?>
[PHP] pobierz, plaintext 

dodam jeszcze ze w index.php na poczatku jest wlasnie includowany kod probujacy sie zalogowac poprzez dane uzyskane z ciasteczka..

problem jest tej natury, ze po nacisnieciu wyloguj i przekierowaniu do index.php automatycznie znowu mi sie loguje (pobierajac dane z ciasteczka), mimo ze przeciez teoretycznie cisteczko stracilo waznosc.. jezeli nie zaznacze opcji 'pamietaj mnie', czyli ciasteczka w ogole nie ma to wylogowywanie przebiega bezporblemowo..

jakies pomysly co tu jest nie tak?
z gory dziekuje..

edit: JEZELI NIE WIDZICIE TU BLEDU TOPOWIEDZCIE PRZYNAJMNIEJ JAK WY TAKIE RZECZY ROZWIAZUJECIE..

Ten post edytował barthek 20.02.2006, 08:47:00

hymhym... Uzywasz $_SESSION do pobierania danych z ciasteczek?

Tak sie chyba nie robi, może się mylę.

Do danych z ciasteczek używa się $_COOKIE

i tak:

[PHP] pobierz, plaintext 
// Zapamietanie:
<?php
$dane = $login.'<jakistamseparator>'.$haslo; // Proponuje dać jakiś dziki znak ASCII jako separator, unikalny żeby nie było pom
yłek
setcookie ("dane", $dane,time()+3600*24*365);
?>
 
// Pozniejsze logowanie
<?php
if($_COOKIE['dane']) 
{
$cookieDane = explode('<jakistamseparator>',$_COOKIE['dane']);
$login = $cookieDane[0];
$haslo = $cookieDane[1];
}
?>
[PHP] pobierz, plaintext 

Pomogłem czy powiedziałem tylko to co juz wiedziałeś (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) ?

Ten post edytował Neotion 19.02.2006, 21:11:05

Z tym, że gorąco zalecam dodatkowe hashowanie hasła wysyłanego w ciasteczko, bo po przechwyceniu ciastka (a przecież może się to zdarzyć) może być 'zonk'...
Np. jeśli hasło było zakodowane md5, to dodaj do tego jeszcze hashowanie sha1.

Co do hashowania wolałbym jakąś własną funkcję od hashowania bo SHA1 i MD5 z tego co czytałem nie są już za bardzo bezpieczne. Obecnie chyba tylko AES został, ale nie ma do niego gotowej funkcji w php (IMG:http://forum.php.pl/style_emoticons/default/sad.gif)

nie no jasne ze nie (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) po prostu pozno posta dawalem i przez pomylke nie ta czesc kodu dalem..

co do tego problemu to juz go rozwiazalem - plik logout.php, ktory zawieral skrypt wylogowujacy, byl w innym katalogu niz index.php przez co nie potrafil zmienic daty waznosci ciasteczka (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)



taa... probowalem dane w ciasteczku XOR'owac unikalnym kulczem 64-znakowym, ale o ile wszystko niby dziala (jak sprawdzalem w osobnym kodzie php instrukcja pod instrukcja), to juz przy kodowaniu ciasteczka i pozniejszym jego odczytaniu w pewnym momencie zle to dzialalo (np pierwsze 50 znakow bylo OK, a pozostale 14 juz bral z kosmosu..).
postanowilem wiec to zostawic.. dlaczego? poniewaz co da komus zhashowany md5 login i haslo? jak wklepie to w formularz to zostanie to ponownie zhashowane i tyle mial hasla (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

mam natomiast jeszcze jedno pytanie. teraz jezeli ktos mi sie wylogowuje (a wczesniej dal opcje 'pamietaj mnie') to usuwa ciasteczko - przez co juz go pamietac nie bedziemy (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) jak wiec zrobic, zeby po wylogowaniu sie - uzytkownik mogl sobie przegladac jeszcze strony witryny normalnie jako gosc, a po zamknieciu przegladarki i ponownym powrocie byl logowany automatycznie, czyli pamietany?

Użyj sesji. Sesja jest usuwana czy już nie pamiętana po wyjściu z przeglądarki. Ja tak zawsze robie przy licznikach unikanych odwiedzin (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

A co do MD5: jak komuś zależy to z tego co słyszałem idzie sobie z tym poradzić.

demagogia, nie sluchajcie go (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) szkoda ze tylko slyszales ;>

http://hacking.pl/5450 <- to o SHA1
http://www.hakin9.org/pl/attachments/md5_pl.pdf <- to o MD5

Ale to tylko o tworzeniu kolizji, nie odczytamy raczej z MD5 pierwotnej informacji.
Zwracam honor (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)