Men SESSION varslariga asoslangan oddiy kirish tizimidan foydalanaman. Foydalanuvchi tizimga kirgandan so'ng, mening skriptimga foydalanuvchi qabul qilinishi kerakligini bildiruvchi var sessiyasi o'rnatiladi. Men har qanday maxsus mijoz cookie varidan foydalanmayman.
Kirish ekranida "kun davomida tizimga kirishimni saqlab qoling" degan variantni taklif qilmoqchiman. Buni qanday qilib xavfsiz tarzda qilish mumkin?
Birinchidan: session.cookie_lifetime direktivasini sozlang. php.ini, konfiguratsiya fayllari yoki session_set_cookie_params() orqali.
Keyin, foydalanuvchi nomini va parolning xesh qiymatini sessiyada saqlang va har bir sahifada ushbu kirishni tasdiqlang. U hali ham amalda bo'lsa, ular tizimga kirishlari mumkin.
Seans cookie-faylining tabiiy tugashi odatda narsalarni tartibli saqlashi kerak, chunki seans o'rtasida hech kim tizimdan chiqmaydi (albatta, agar yulduzlar unga moslangan bo'lsa), agar ular faol bo'lsa. Agar bu bajarilmasa, men eCartoth-ning yechimini yaqin soniya deb hisoblayman, chunki if iborasiga ikkinchi qatorni qo'shishingiz mumkin:
if (my_validate_user_function($_SESSION['username'],$_SESSION['passhash'])
&& $_SESSION['deathstamp'] > time()
) {
// user is logged in again, oh boy!
}
else {
// send in the death robots
header('Location: /login.php',true,302);
}
EDIT: Siz ko'rib chiqishingiz mumkin bo'lgan narsa - bu seansni tuzatish va/yoki sessiyani o'g'irlash. Buning oldini olish uchun men ikkita echimdan birini (yoki ikkalasini) tavsiya qilaman:
session_regenerate_id() dan foydalaning.__destruct() funksiyangizda write_close usuliga qo'ng'iroq qilganingizga ishonch hosil qilishingiz kerak yoki seans saqlanishidan oldin ob'ekt axlat yig'ish orqali yo'q qilinishi mumkin.
- person Dereleased; 18.07.2011
"Meni kun bo'yi tizimga kiritib qo'ying" deganingizda, siz faqat ma'lum bir mashinani nazarda tutyapsiz deb o'ylayman, to'g'rimi? MySQL jadvalidan "kirish vaqtini" eslab qolish uchun foydalanishingiz mumkin yoki agar ular kun bo'yi tizimga kirishni tanlasa, bu login endi haqiqiy emasligi haqidagi vaqt tamg'asidan foydalanishingiz mumkin. Keyin kodingizning boshiga o'sha foydalanuvchining identifikatorini sessiya parametrlaridan oladigan ba'zi skript qo'shing. O‘sha foydalanuvchining joriy vaqt tamg‘asini saqlangan “so‘nggi amaldagi ts” bilan solishtiring va agar o‘sha vaqt o‘tgan bo‘lsa, ular tizimdan chiqishlari kerakligini bilasiz, shu nuqtada sessiyani o‘chirib tashlab, foydalanuvchini qayta kirishga majbur qilasiz. Bu usul shuni anglatadiki, ular o'sha vaqtdan keyin biror narsa qilishga urinmaguncha tizimdan chiqmaydilar, lekin ular uchun shunday bo'lib tuyuladi. Bundan tashqari, MySQL ma'lumotlar bazasidan foydalanish o'rniga, oxirgi joriy TSni ham sessiya o'zgaruvchisida saqlashingiz mumkin.
Masalan, foydalanuvchi birinchi marta "Kun davomida tizimga kirishimni tanlagan holda" bilan tizimga kirganda:
$_SESSION['log_me_out_at'] = strtotime(date("Y-m-d ")."23:59:59");
Keyin tizimingizda har safar sahifaga kirishda:
if( $_SESSION['log_me_out_at'] < time() ){
unset($_SESSION['user_is_accepted_in']);
}
Variantlardan biri seans o'zgaruvchilarini saqlaydigan va ularni IP manzillari va amal qilish muddati bilan bog'laydigan MySQL jadvalini o'rnatish bo'lishi mumkin, ammo bu qanday amalga oshirilishi haqida barcha tafsilotlarga ishonchim komil emas.
Siz qidirayotgan narsani qilishning eng oddiy (tavsiya etilmaydi) yo'li kompyuterda foydalanuvchi nomi va parol bilan $_COOKIE ni o'rnatish bo'ladi, keyin foydalanuvchi tizimga kirganida saytingiz buni tekshiradi. .
Qo'shimcha xavfsizlik uchun potentsial xakerga foydalanuvchi hisobi ma'lumotlari haqida kamroq ma'lumot berish uchun foydalanuvchi ma'lumotlarining tuzlangan MD5 xesh sifatida faqat bitta cookie faylini saqlasangiz yaxshi bo'lardi. Davomiylik cookie faylini o'rnatganingizda o'rnatilishi mumkin; php.netda buni qanday amalga oshirish bo‘yicha yetarlicha to‘liq hujjatlar mavjud.
