Forum PHP.pl > Skrypt logowania Session,Cookis, prośbą o analizę...

Pomoc - Szukaj - Użytkownicy - Kalendarz

Pełna wersja: Skrypt logowania Session,Cookis, prośbą o analizę...

Avatarus

22.06.2008, 06:31:52

Witam
Próbuje napisać sprawny kod logowania z cookies opartym oczywiście o sesje i bazę danych mysql.
Jednak coś nie działa mi to w necie, bo lokalnie zdaję się że działa.

Mam jeszcze dodatkowe pytanie, czy da się jakoś sztucznie wydłużyć czas trwania SESSION? Typ serwera Home.pl, konto współdzielone, więc nie mam dostępu do php.ini

Oto zestaw plików odpowiedzialnych za logowanie u mnie.

Plik funkcje.php

[PHP] pobierz, plaintext 
<?php
require_once 'sterownik.php'; //cache
$host='localhost';
$user='xxxxxx';
$haslo='xxxxxx';
$baza='xxxxx';
 
 
//LOGOWANIE 
//logowanie_cookies();
 
 
function polaczenie()
{
global $host,$user,$haslo,$baza;
$lacz=mysql_connect($host,$user,$haslo);
$polecenie=mysql_query($lacz);
$baza_danych=mysql_select_db($baza);
$polecenie=mysql_query($baza_danych);
}
function wczytaj_ustawienia()
{
	polaczenie();
   $zapytanie=mysql_query('Select * from scms_ustawienia');
   $ustawienia=mysql_fetch_assoc($zapytanie);
   mysql_close();
   return $ustawienia;
}
function generuj_id_sesji()
{
	$id_sesji=rand(0,20).sha1(date('U')).rand(0,50);
	return $id_sesji;
}
function logowanie_cookies()
{
	//echo 'Logowanie cookies<br>';
	if (!empty($_COOKIE['tajnecookie']))
	{
		//echo 'jest cookies<br>';
		$id_sesji=$_COOKIE['tajnecookie'];
		$test_session=sprawdz_sesje($id_sesji);
 
	}
	else
	{
		//echo '<br>nie ma cookies<br>';
	}
 
}
function sprawdz_sesje($id)
{
	//echo '<br>sprawdzanie cookies<br>';
	polaczenie();
	$zapytanie = "select * from scms_sesje where session_id='".$id."'";
  //echo $zapytanie;
  $wynik = mysql_query($zapytanie);
  $dane=mysql_fetch_assoc($wynik);
  mysql_close();
  //echo "<br>Strona:".$_SERVER[HTTP_USER_AGENT].'<br>Baza:'.$dane['browser'].'<br>';
  if(mysql_num_rows($wynik)!=0 and ($_SERVER[HTTP_USER_AGENT]==$dane[agent]))	
  {
	  //echo '<br>Sesja z bazy:'.$dane[session_id].'<br>';
	  //echo '<br>Jest taka sesja w bazie<br>';
			  $_SESSION['uwierzytelniony'] = $dane['login'];
			  $_SESSION['user_poziom']=$dane['user_level'];
			  $_SESSION['id']=$dane['user_id'];
	  return $dane;
  }
  else
  {
   //echo '<br>Nie ma takiej sesji w bazie<br>';
   return 0;
  }
}
function czyszczenie_tabeli_sesji()
{
if (date('H')==23 and date('i')>45)
{
	$czas=date(U)-(60*60*24*30);
	$sql='DELETE from scms_sesje where czas<"'.$czas.'"';
}
}
?>
[PHP] pobierz, plaintext

plik index.php

[PHP] pobierz, plaintext 
<?php
ob_start();
session_start();
require 'funkcje.php';
 
polaczenie();
$ustawienia=wczytaj_ustawienia();
 
if ($ustawienia[status]=="OFF") 
{
	require ('strona_off.php'); exit;
}
 
else
{
	if (!$_SESSION['uwierzytelniony'] and !$_SESSION['user_poziom'] and !$_SESSION['id']) logowanie_cookies();
	header ('Location: news.php');
 
}
ob_flush();
?>
[PHP] pobierz, plaintext

Plik logout.php

[PHP] pobierz, plaintext 
<?php
ob_start();
session_start();
require 'funkcje.php';
function wyloguj($id)
{
 
polaczenie();
$zapytanie = mysql_query("delete from scms_sesje where session_id='".$id."'");
  unset($_SESSION['uwierzytelniony']);
  unset($_SESSION['user_poziom']);
  unset($_SESSION['id']);
  session_destroy();
  mysql_close();
  setcookie('tajnecookie','',time()-100,'','',0);
  header ('Location: index.php');
}
wyloguj($_COOKIE['tajnecookie']);  
ob_flush();
?>
[PHP] pobierz, plaintext

Plik logowanie.php

[PHP] pobierz, plaintext 
<?php
ob_start();
session_start();
if(isset($_POST['login']) and isset($_POST['haslo']))
{
  $iduzytkownika = $_POST['login'];
  require_once ('funkcje.php');
  polaczenie();
  $zapytanie = "select ID_MEMBER,memberName,ID_GROUP,passwd,emailAddress from 
smf_members where memberName='".$iduzytkownika."' and passwd='".sha1(strtolower($iduzytkownika).$_POST[haslo])."'";
  $wynik = mysql_query($zapytanie);
  $dane=mysql_fetch_assoc($wynik);
  $jest_user=mysql_num_rows($wynik);
  if($jest_user > 0)
  {
	  $polecenie=mysql_query('SELECT name from smf_ban_groups where name="'.$dane[memberName].'"');
	  $warnow=mysql_fetch_array($polecenie);
	  if (mysql_num_rows($polecenie)>0)
	  {
		  unset($_SESSION['uwierzytelniony']);
		  unset($_SESSION['user_poziom']);
		  unset($_SESSION['id']);
		  session_destroy();
		  header ('Location: ban.php');
	  }
	  else
	  {
   $_SESSION['uwierzytelniony'] = $dane[memberName];
	$_SESSION['user_poziom']=$dane['ID_GROUP'];
	$_SESSION['id']=$dane['ID_MEMBER'];
	$wygenerowane_id=generuj_id_sesji();
	$sql=mysql_query('DELETE from scms_sesje where login="'.$_SESSION[uwierzytelniony].'"');
	$sql=mysql_query('Insert Into scms_sesje values (NULL,''.$wygenerowane_id.'',''.$dane[memberName].'',''
.$dane['ID_MEMBER'].'',''.$dane['ID_GROUP'].'',''.$_SERVER[HTTP_USER_AGENT].'',''.date(U).'')');
	setcookie('tajnecookie',$wygenerowane_id,time()+60*60*24*30,'','',0);
	czyszczenie_tabeli_sesji();
 
	header ('Location: index.php');
 
	}
  }
  else
  {
  mysql_close();
	header ('Location: news.php');  
  }
}
else header ('Location: news.php');  
ob_flush();
?>
[PHP] pobierz, plaintext

w nagłówku zaraz po body jest wywołanie funkcji:

[PHP] pobierz, plaintext 
<?php
if (!isset($_SESSION[uwierzytelniony])) logowanie_cookies();
?>
[PHP] pobierz, plaintext

Skrypt pisałem jakiś czas temu, mam świadomość że jest trochę chaotyczny

Jeśli jednak macie jakieś pomysły jak temu zaradzić. Nie trzeba tu nigdzie przypadkiem zregenerować id sesji? Tylko jak i gdzie? Będę wdzięczny za pomoc.
Pozdrawiam

.radex

22.06.2008, 07:06:51

Oj chłopie, trochę za dużo tego kodu, żeby ktoś za Ciebie analizował go.

Przeanalizuj w różnych miejscach (np. za pomocą var_dump) dane to będzie wiadomo gdzie się coś nie zgadza. Wtedy będzie łatwo zlokalizować błąd.

I posprawdzaj sobie za pomocą mysql_error czy zapytania są ok.

Avatarus

22.06.2008, 07:17:54

tak tylko wiesz.....sesje z cookies możesz sprawdzić tylko jak sesja wygasa i wtedy zobaczyć czy faktycznie łapie ją znowu z cookies czy nie. Czekanie powiedzmy 20 min i sprawdzenie czy sesja zaskoczyła z każdą poprawką to nieciekawe doświadczenie.

Może w wielkim skrócie. Skrypt działa tak. Jak się logujesz to do bazy wędruje id sessji wygenerowany przez moja funkcje, dodatkowo, czas, id usera, nick. Wysyłane jest też cookies ktore ma w sobie tylko id sesji.
Jeśli teraz podczas odświeżenia nie ma $_SESSION[nick] (czyli wygasła) to odpala funkcje logowanie_cookies()
Te funkcja sprawdza czy jest cookies, potem sprawdza czy Id w nim pasuje do tabeli sesji jeśli tak to przypisuje zmiennym $_SESSION nowe dane.

z funkcji sesyjnych używam tylko session_start(), session_destroy(). Wiem że są funkcje to regeneracji id, ale nie wiem czy przyda się to tutaj....
Może inaczej. Jeśli ktoś stworzy sesje i są przechowywane dane np. $_SESSION[nick] no i powiedzmy po 10 latach koleś odświeży stronę, dane $_SESSION wygasną, no ale jest cookies, sprawdzi z bazą i jest sesja, to wtedy z marszu przypiszę nowe dane $_SESSION to będzie to dalej poprawna sessja? czy trzeba całą sesję jakoś odrodzić?

To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.