Mam pomysł na zrobienie takiego logowania na bazie:
1. Nie ma sesji, ani cookies.
2. Struktura tabeli z sesjami:




Objaśnienia:

• user_id:
  id użytkownika z tabeli prefix_users
• session_id:
  "sid". Planuję go przekazywać w adresie (index.php?mode=blablabla&sid=tu_sid). //W PHP była funkcja generująca sid. Jak się nazywała?
• user_browser:
  $_SERVER['HTTP_USER_AGENT'];
• user_ip:
  $_SERVER['REMOTE_ADDR'];
• start_time:
  time(); przy logowaniu. W konfiguracji ustalam po jakim czasie ma wylogowywać (tabela prefix_config).
• remember_me:
  auto-logowanie

3. Przy każdym odświeżeniu strony sprawdzam, czy zgadza się user_browser, user_ip, start_time, session_id.
4. Remember_me: działa, jeśli jest dozwolone w konfiguracji.
Pytania:
1. Czy to bezpieczne? Coś pominąłem?
2. Czy sprawdzać oprócz tego $_SERVER['X_FORWARDED_FOR']; //I czemu nie znalazłem tego w manualu?
3. Na ile powinienem ustawić domyślny czas trwania sesji (bo może być albo domyślny, albo na zawsze (remember_me może być 0 lub 1)).

A że tak zapytam, jakie są powody do rezygnowania ze zwykłej sesji ?

1. 2 (i więcej) sesje się zlepiają w jedną, czyli user jest zalogowany w dwóch oknach na tej samej stronie, ale jako inny użytkownik (nie, nie multi-account. To jest konieczne, a nie chcę robić dodatkowych identyfikatorów.).
2. Zwykłe sesje są nieco przestarzałe.
3. Łatwiej hacknąć stronę na zwykłych sesjach, niż dobrze zrobioną na bazie (sprawdzałem).

Ale to przecież zależy od identyfikatora, a nie od miejsca zapisu danych. Baza jest w tym wypadku jak nośnik - nieważne, czy płyta CD, czy DVD, zero, to zero, jeden, to jeden.


Heh, też mi argument. Pliki są szybsze w działaniu niż baza.


Udowodnij. Można mieć zrobioną na bazie i bardziej podatną na ataki niż w przypadku standardowego mechanizmu. To zależy, co i jak sprawdzasz, ale nie od miejsca zapisu! To, że zdumpuję dane do bazy, to nic nie zmieni. Sam fakt innego miejsca zapisu niewiele tu da.

hmm
ok, z Twojego rozwiązania wychodzi mi jedynie, że jedynym zabezpieczeniem to i tak jest IP (zabezpieczenie przed używaniem dwóch kont na raz).

1) jak będę chciał korzystać z dwóch kont to użyję proxy - prosty hack
2) jak zechcę legalnie pograć z sąsiadem i dzielimy jedno łącze z kablówki to nie pogramy równocześnie - poważny minus

A tak poza tym - Twoje rozwiązanie czy sesja to praktycznie to samo (kiedyś nr sesji przekazywany był w pasku adresu, czyli tak jak u Ciebie) a ile więcej zachodu ? Syzyfowa praca.
Łatwiej ustaw sobie sessid przekazywane w pasku adresu w konfiguracji PHP i wyjdzie Ci dokładnie to samo.

1. Nie, nie pograć. To program, nie gra.
2. Tu mogą być "multi-accounts". A nawet są. Celowo. Nie chce mi się tłumaczyć dlaczego, za dużo do tłumaczenia.
3. Wiem, że można
4. Nie mogę, nie jestem Adminem serwera (a funkcja ini_set() jest zablokowana).
5. Pliki łatwo zniszczyć.
6. Nie chce mi się tutaj wpisywać wszystkiego, co zrobiłem aby hacknąć. Za dużo pisania. Poza tym napisałem "dobrze zrobioną", więc nic tego nie hacknie .
7. Wiem, że zależy od id, ale w bazie łatwej to zrobić.
8.
9. Czy to jest optymalne (generowanie sid):

[PHP] pobierz, plaintext 
<?php
$chars  = 'qwertyuiopasdfghjklzxcvbnmQWERTYUIOPASDFGHJKLZXCVBNM1234567890';
      $number = 40;
      $strlen = strlen($chars)-1;
 
      $i   = 0;
      $sid = '';
 
      while ($i < $number)
      {
        $id   = rand(0,$strlen);
        $sid .= mb_substr($chars,$id,1);
        $i++;
      }
?>
[PHP] pobierz, plaintext 

Ależ wszystko w porządku, sam nie polecam zachowywania danych w sesjach po stronie klienta, chodzi mi jedynie o to, że identyfikator sesji generowany domyślnie przy starcie sesji jest na tyle dobry, że nie trzeba odkrywać ameryki i wprowadzać swojego, 32 bajty czy 40 bajtów - ilość kombinacji w obu przypadkach astronomiczna.
Niezaprzeczalny plus (czy też minus) Twojej metody to przenośność między przeglądarkami - otworzę stronę w FF, zaloguję się, skopiuje adres do IE i mam ciągle tą samą sesję.

Nie do końca . Jeszcze jest $_SERVER['HTTP_USER_BROWSER'];
Ogólnie nigdzie nie ma być niczego z $_SESSION, session_start() itd., czyli standardowych sesji.
A teraz wróćmy do moich 3 pytań

IE nie przekazuje sesji między oknami (czy też FF bo już nie pamiętam), ale to wciąż ta sama przeglądarka.

1) Bezpieczne, o ile porządnie zabezpieczysz pozostałą część serwisu (z tym że wywołania http (adres z numerem sesji) są łatwiejsze do zdobycia niż nagłówki http dla kogoś kto nasłuchuje (niewiele ale zawsze), z tą uwagą że cache przeglądarki pamięta adresy a nie zmienne sesyjne
2) Można, ale nie zawsze dostaniesz te dane bo nie zawsze są wysyłane (nie ma na to RFC dlatego nie ma w manualu)
3) ja ZAWSZE daje czas domyślny trwania sesji (boję się kafejek internetowych i głupoty niewylogowujących się userów jak ognia)

0) Ale jak sprawdzam browsera, to pokaże coś innego. Przykład:
pod FX mam:

a pod badzIEwiem:

1) Sprawdzam browsera, IP, sesję w $_GET['sid'] i XFF. Przykłady:

[PHP] pobierz, plaintext 
<?php
function get_user_id()
      {
        global $db;
        $user_browser = $_SERVER['HTTP_USER_AGENT'];
        $user_ip      = $_SERVER['REMOTE_ADDR'];  
        $sid          = $_GET['sid'];
  
        $sql   = "SELECT user_id FROM ".SESSIONS_TABLE." WHERE session_id='".$sid."' AND user_browser='".$user_browser."' AND user_ip='".$user_ip."'";
        $query = $db->sql_query($sql);
        $arr   = $db->sql_fetcharray($query);
  
        while ($rec = $arr){$user_id = $rec[0];}
  
        return $user_id;
      }
  
      function is_session()
      {
        $sql   = "SELECT user_id FROM ".SESSIONS_TABLE." WHERE session_id='".$sid."' AND user_browser='".$user_browser."' AND user_ip='".$user_ip."'";
        $query = $db->sql_query($sql);
        $arr   = $db->sql_fetcharray($query);
  
        $is_session = false;
        while ($rec = $arr){$is_session = true;}
  
        return $is_session;
      }
?>
[PHP] pobierz, plaintext 

get_user_id - pobiera id użytkownika; is_session - sprawdza, czy user jest zalogowany
2) Wiem, że nie zawsze dostanę te dane
3) Fakt, tutaj userzy mogą umożliwić innym hacknięcie. Na szczęście do mojego programu dostęp jest tylko z jednego budynku (serwer, a do niego podłączone komputery). Zastanawiam się nad 30 minutami. To powinno wystarczyć.

oj ... miałem na mysli dwa okna IE = dwie różne sesje (bądź dwa okna FF to dwie różne sesje), nie pamiętam czy ten efekt jest pod FF czy pod IE ale chyba w obu ...

poza tym funkcja is_session() zawsze zwróci true, o ile nie zawiesi procesu (to samo w get_user_id)
i błąd SQL (chyba że korzystasz z magicznych zmiennych)

Mówiłem o tym:

Dlaczego? Co zrobić, aby działało?


A co to? Chodzi o define("SESSIONS_TABLE", $config['prefix'].'sessions');, a potem w zapytaniu:

chodzi mi o to:

[PHP] pobierz, plaintext 
<?php
while ($rec = $arr){$is_session = true;}
?>
[PHP] pobierz, plaintext 

przypisanie $rec = $arr zawsze da true bo się udało, więc pętla while będzie nieskończona ....
http://pl.php.net/manual/pl/control-structures.while.php

no i skąd bierzesz zmienne $sid, $user_browser itd w funkcji is_session ?

Mam to, co w get_user_id();, ale nie podawałem tego samego.

Zawsze stosuję takie coś:

[PHP] pobierz, plaintext 
<?php
$query = $db->sql_query($sql);
       $arr   = $db->sql_fetcharray($query);
 
       while ($rec = $arr){
//
}
?>
[PHP] pobierz, plaintext 

I działa.


Edit:
Więc bezpieczne?

Więc cała ta zabawa ma na celu:

1. przeniesienie miejsca przechowywania danych sesyjnych z pliku do bazy
2. ograniczenie ilości zmiennych przechowywanych w sesji tylko do zmiennej user_id
3. ograniczenie możliwości przesyłania zmiennej session_id tylko do parametru _GET
4. dodanie dodatkowych informacji do sesji takich jak IP i USER_AGENT

Coś pominąłem ?

Podsumowując (bezpieczeństwo i użyteczność):

1. - ani grzeje ani ziębi, jak ktoś tutaj już napisał, to tylko miejsce przechowywania
2. - jeśli to ma służyć tylko do przechowywania id usera, a wszystkie jego zmienne byłyby wczytywane dopiero w kolejnym zapytaniu to w porównaniu do mechanizmu sesji są już 2 zapytania do bazy zamiast jednego odczytu pliku
3. - po co ograniczać możliwość przesyłania session_id tylko do _GET, skoro sesja wbudowana w php może być przekazywana zarówno w _GET jak i _COOKIE (przy czym _COOKIE jest dużo bezpieczniejsze ze względu na brak identyfikatora w adresie)
4. - niby fajny pomysł przy kradzieży session_id należałoby mieć też ten sam IP... niestety są użytkownicy w sieci co mają zmienne IP i może im się zmieniać kilka razy na zalogowanie, co do danych USER_AGENT, to już lepiej bo "nie szkodzi", ale też dużo nie pomaga, wystarczyłoby mieć tą samą przeglądarkę (wersję)

Strasznie to wszystko skomplikowane - do podstawowego celu, czyli wiele sesji w jednej przeglądarce wystarczy pewnie

w php.ini lub ustawione za pomoca ini_set(). Ale imho przechowywanie identyfikatora sesji w SID jest dość niebezpieczne - świetnie je widać choćby w logach wszelakich proxy. Ponadto użytkownicy zawsze wysyłając linki znajomych podają je z SIDem - a szansa, że są w jednej sieci, i mają identyczną przeglądarkę mimo wszystko jest całkiem duża.

To rezygnuję z sid w linku.

Nie, całkowite wywalenie standardowych sesji.
Z tego rezygnuję.
To tylko ma służyć do identyfikacji użytkownika.


Jak to jest zrobione w phpBB3? W bazie jest IP, USER_AGENT itp. Po zmianie IP, wyczyszczeniu cookies itd. sesja nadal istnieje (jeśli ma się włączoną opcję "zapamiętywania").

Nie zawsze ma się dostęp do takich rzeczy


Jednak wracam do starego sposobu:

[PHP] pobierz, plaintext 
<?php
 class user
  {
    var $userdata = array();
 
 
    function session_begin()
    {
      $this->assign_userdata();
      $this->assign_session_userdata();
    }
 
    function session_kill()
    {
      unset($_SESSION);
      unset($this->userdata);
    }
 
    function assign_userdata()
    {
      global $db;
      $sql = "SELECT * FROM ".USERS_TABLE." WHERE user_id='".$this->get_user_id()."'";
      $sql = $db->sql_query($sql);
      $i++;
      while ($row = $db->sql_fetcharray($sql))
      {
        foreach ($row as $key => $value)
        {
          $this->userdata[$key] = $value;
        }
      }
 
      if($this->userdata['user_id'] !== 0)
      {
        $this->userdata['is_registered'] = true;
      }
      else
      {
        $this->userdata['is_registered'] = false;
      }
    }
 
    function assign_session_userdata()
    {
      $_SESSION['user_id']    = $this->userdata['user_id'];
      $_SESSION['user_login'] = $this->userdata['user_login'];
      $_SESSION['user_pass']  = $this->userdata['user_pass'];
      $_SESSION['user_grade'] = $this->userdata['user_grade'];
    }
 
    function get_user_id()
    {
      if(isset($_SESSION['user_id']))
      {
        return $_SESSION['user_id'];
      }
      else
      {
        $_SESSION['user_id'] = 0;
        return 0;
      }
    }
 
    function login($login,$pass)
    {
      global $db, $main;
      $browser = $_SERVER['HTTP_USER_AGENT'];
      $ip      = $_SERVER['REMOTE_ADDR'];
      $sid     = $this->generate_sid();
 
      $sql = "SELECT user_id FROM ".USERS_TABLE." WHERE user_login='".$login."' AND user_pass='".$password."'";
      $sql = $db->sql_query($sql);
      while ($row = $db->sql_fetcharray($sql))
      {
        $_SESSION['user_id'] = $row['user_id'];
      }
      $main->redirect($main->generate_url('UCP',true,$sid));
      return true;
    }
 
    function register()
    {
      global $main;
 
      if(empty($_POST['login'])){
        $errcodes[] = 'EMPTY_LOGIN';
      }
      if(strlen($_POST['login']) > $main->config['login_max_strlen']){
        $errcodes[] = 'LONG_LOGIN';
      }
      if(strlen($_POST['login']) < $main->config['login_min_strlen']){
        $errcodes[] = 'SHORT_LOGIN';
      }
 
 
      if(empty($mail))
      {
        $errcodes[] = 'EMPTY_MAIL';
        $check_mail = false;
      }
      if ($check_mail && !eregi("^[_a-z0-9-]+(.[_a-z0-9-]+)*@[a-z0-9-]+(.[a-z0-9-]+)*(.[a-z]{2,4})$", $_POST['mail']))
      {
        $errcodes[] = 'INVALID_MAIL';
      }
 
 
      if(empty($_POST['pass'])){
        $errcodes[] = 'EMPTY_PASS';
      }
      if(strlen($_POST['pass']) > $main->config['pass_max_strlen']){
        $errcodes[] = 'LONG_PASS';
      }
      if(strlen($_POST['pass']) < $main->config['pass_min_strlen']){
        $errcodes[] = 'SHORT_PASS';
      }
 
 
      if(count($errcodes) > 0)
      {
        $sql = "";
      }
      else
      {
        global $template, $lang;
 
        foreach ($errcodes as $key => $value)
        {
          /*switch ($value)
          {
            case 'EMPTY_LOGIN':
              $value2 = $lang->register['EMPTY_LOGIN'];
            break;
 
            case 'LONG_LOGIN':
              $value2 = $lang->register['LONG_LOGIN'];
            break;
 
            case 'SHORT_LOGIN':
              $value2 = $lang->register['SHORT_LOGIN'];
            break;
 
            case 'INVALID_MAIL':
              $value2 = $lang->register['INVALID_MAIL'];
            break;
 
            case 'EMPTY_MAIL':
              $value2 = $lang->register['EMPTY_MAIL'];
            break;
 
            case 'EMPTY_PASS':
              $value2 = $lang->register['EMPTY_PASS'];
            break;
 
            case 'LONG_PASS':
              $value2 = $lang->register['LONG_PASS'];
            break;
 
            case 'SHORT_PASS':
              $value2 = $lang->register['SHORT_PASS'];
            break;
 
            default:
              $value2 = $lang->register['DEFAULT'];
            break;
          }
          $errmsgs[$key] = $value2; */
          $errmsgs[$key] = $lang->register[$value];
        }
 
        foreach ($errmsgs as $key => $value)
        {
          $template->assign_block_vars('registration_errors',array(
            'ERROR' => $value
          ));
        }
      }
    }
 
    function generate_sid()
    {
      $chars  = 'qwertyuiopasdfghjklzxcvbnmQWERTYUIOPASDFGHJKLZXCVBNM1234567890';
      $number = 40;
      $strlen = strlen($chars)-1;
 
      $i   = 0;
      $sid = '';
 
      while ($i < $number)
      {
        $id   = rand(0,$strlen);
        $sid .= mb_substr($chars,$id,1);
        $i++;
      }
      return $sid;
    }
  }
?>
[PHP] pobierz, plaintext 

2 pytania:

1. Bezpieczne?
2. Optymalne?

Klasa User, u mnie jest modelem, a do obsługi mechanizmu sesji mam osobna klase dfSession.
Warto to rozdzielić, również u Ciebie.
Poza tym, jeśli masz dostęp do PHP5 to warto by napisać to właśnie pod tą wersje.

Zrobię tak.
Mam. Co tam jest nie z PHP5?

Dużo by pisać.

http://www.google.pl/search?q=php5
http://php.net.pl/manual/pl/index.php

Ale pierwsze co się rzuca w oczy to brak konstruktora i destruktora, a poza tym...

[PHP] pobierz, plaintext 
<?php
var $userdata = array();
 
/* Powinno byc raczej... */
 
private $userdata; */
?>
[PHP] pobierz, plaintext 

Oraz....

[PHP] pobierz, plaintext 
<?php
function login();
 
/* Powinno byc. */
 
public function login();
?>
[PHP] pobierz, plaintext 

Co do budowania modelu to raczej warto zrobić to troszkę inaczej.

[PHP] pobierz, plaintext 
<?php
/* Nie jeden kontener. */
 
private $userdata;
 
/* Tylko rozdzielić to na poszczegolne własnosci. */
 
private $Name;
 
private $ID;
 
private $IP;
 
/* I dostęp do nich poprzez metody. */
 
$User->getName();
?>
[PHP] pobierz, plaintext 

Jest to wygodne w zastosowaniu razem z obiektem do obsługi sesji.

[PHP] pobierz, plaintext 
<?php
$UserID = $Session->Get('userID');
$User = new User($UserID);
 
/* Albo. */
 
$UserID = $Session->Get('userID');
$User = new User;
$User->loadByID($UserID);
?>
[PHP] pobierz, plaintext 

Powinieneś się połapać jak to zaimplementować.

Pozdrawiam.