Pytanie nietypowe, nie chce koła chce dętkę.
Od paru dni myślę nad podniesieniem mojego poziomu php na wyższy, jako że nadal jestem początkującym chciałbym teraz zrobić system logowania i rejesracji jednak problemem jest dla mnie za mała wiedza o sesjach.
Nie znalazłem dostatecznych źródeł informacji na temat sesji (według mnie), a pytanie na którym się zatrzymuję;
Jak można przechowywać sesję przechodząc na inną stronę?
oraz tak jak pisałem na samej górze, nie chce dostać całego systemu logowania i rejestracji tylko sam szkielet jak to ma mniej więcej wyglądać (chodzi tylko o sesje) oraz ewentualne (miło by było) pokazanie np. "tu hashuj hasła", "tu sprawdź czy już istnieję", "Tu dane dla zalogowanego" itd. (Jako że jest to forum "Przedszkole" a ja będę to pisał pierwszy raz)
mam nadzieję że dobrze zadałem pytanie, jakby ktoś nie zrozumiał to proszę komentować.
edit:
ps. będę pisał to z pomocą PDO bo tylko tego się uczyłem więc prosiłbym nie zamykać tematu bo może będę miał pytania w przyszłości jakby coś nie wyszło.
edit 2 - Jeszcze jedno:
W bazie wystarczy `id`, `nick`, `haslo` czy jeszcze coś będzie mi potrzebne?
Pełna wersja: [PHP+PDO][MySQL]Pierwsza strona www.
Co do samego skryptu logowania i rejestracji napisałem takowy kiedyś na swoim blogu.
#edit, w artykule napisałem co nieco o sesji
W każdym pliku, w którym sesja ma być aktywna, trzeba dać na wstępie session_start(). Tym sposobem sesja sobie istnieje w tle przechodząc między stronami.
Wystarczy, to absolutne minimum. W zależności od upodobań można dodać np. adres e-mail, datę rejestracji, typ konta (admin/użytkownik itd.), ostatnie logowanie etc.
#edit, w artykule napisałem co nieco o sesji
Cytat
Jak można przechowywać sesję przechodząc na inną stronę?
W każdym pliku, w którym sesja ma być aktywna, trzeba dać na wstępie session_start(). Tym sposobem sesja sobie istnieje w tle przechodząc między stronami.
Cytat
W bazie wystarczy `id`, `nick`, `haslo` czy jeszcze coś będzie mi potrzebne?
Wystarczy, to absolutne minimum. W zależności od upodobań można dodać np. adres e-mail, datę rejestracji, typ konta (admin/użytkownik itd.), ostatnie logowanie etc.
Tak jak pisałem mogę mieć pytania i mam już pierwsze
--BEZPIECZEŃSTWO--
Czy: Jestem bezpieczny w tym fragmencie kodu?
Jak zabezpieczyć hasło? addslashes może chyba być nieprawidłowe skoro chciałbym udostępnić wszystkie znaki możliwe
--BEZPIECZEŃSTWO--
Czy: Jestem bezpieczny w tym fragmencie kodu?
Jak zabezpieczyć hasło? addslashes może chyba być nieprawidłowe skoro chciałbym udostępnić wszystkie znaki możliwe
Zależy co chcesz z tymi danymi zrobić.
Cytat(Turson @ 20.04.2014, 12:59:10 ) 
Zależy co chcesz z tymi danymi zrobić.
* Przechowywać w bazie (przy rejestracjj), * Przy logowaniu sprawdzać poprawność danych (czy użytkownik istnieje itd.),
ps. email ucinany będzie po 350 znakach bo ponoć najdłuższy jaki był miał 345..,
oraz hasło przycinane po 50 znaku;
Jak już bindujesz dane w PDO to nie musisz się bawić w rzutowanie (jeżeli chodzi tu o zapytanie)
1. Najpierw sprawdzaj poprawność przesłanych przez użytkownika danych, dopiero później baw się w ich filtrowanie. O co chodzi (na przykładzie numeru GG)? Powiedzmy, że podałem swój numer GG jako 123e567890 - jest on nieprawidłowy (zawiera znak "e" oraz jest za długi). W tej chwili Twój kod go przepuści, a w bazie danych zostaną zapisane głupoty, a konkretnie wartość "123". Tak więc najpierw powinieneś sprawdzić czy dane są prawidłowe, tj. w tym przypadku sprawdzić czy masz w zmiennej tekst, składający się z samych cyfr, gdzie sam tekst jest niedłuższy niż 9 znaków:
Analogicznie powinieneś postąpić przy nicku oraz emailu.
2. Akurat hasło spokojnie może mieć więcej niż 50 znaków.
A dopiero później zrobić ewentualne rzutowanie na INT.
Analogicznie powinieneś postąpić przy nicku oraz emailu.
2. Akurat hasło spokojnie może mieć więcej niż 50 znaków.
Cytat(Turson @ 20.04.2014, 13:08:18 )
Jak już bindujesz dane w PDO to nie musisz się bawić w rzutowanie
No fakt, zapomniałem o tym... chcialem samym query, zamiast np. prepare-execute lub tak jak pisales,
jednak jak zrobię bindParam(':nick', $nick); itd to jestem bezpieczny? (głównie chodzi mi o sql injection chyba że jeszcze coś tu jest)
Tak, jeżeli używasz bindowania nie musisz już obawiać się SQLInjection (przynajmniej w zakresie danych przesłanych tymi parametrami).
Cytat(ZaXaZ @ 20.04.2014, 12:52:40 )
Jak zabezpieczyć hasło? addslashes może chyba być nieprawidłowe skoro chciałbym udostępnić wszystkie znaki możliwe
Jakąś funkcją szyfrującą np:
$haslo = md5($haslo);
MD5 to nie funkcja szyfrująca.
http://docs.php.net/manual/en/ref.password.php
albo
http://docs.php.net/manual/en/function.crypt.php
albo
http://www.openwall.com/phpass/
http://docs.php.net/manual/en/ref.password.php
albo
http://docs.php.net/manual/en/function.crypt.php
albo
http://www.openwall.com/phpass/
Cytat(Xart @ 20.04.2014, 14:03:34 )
Jakąś funkcją szyfrującą np:
$haslo = md5($haslo);
$haslo = md5($haslo);
być może źle pytanie zadałem ale odpowiedź już uzyskałem trochę wyżej nad tobą (co do bindowania - bo o to mi chodziło),
a hasła będę miał "przerabiane/hashowane" przez hash_hmac bo md5 już dawno złamane, czyt. rainbow tables.
Zdajesz sobie sprawę że w przypadku hash_hmac gdy ktoś zdobędzie klucz to wszystkie twoje hasła są nic nie warte?
Cytat(viking @ 20.04.2014, 15:10:49 )
Zdajesz sobie sprawę że w przypadku hash_hmac gdy ktoś zdobędzie klucz to wszystkie twoje hasła są nic nie warte?
tzn.?, mógłbyś oświecić mnie? - bo nie wiem o co chodzi.
edit:
$pass = hash_hmac('sha512', $_POST['pass'], 'sól');
będzie mniej bezpiecznie niż
$pass = sha512($_POST['pass']);
edit2:
@down, w takim razie leci dla ciebie i dla viking "pomógł" za pomoc, thx.
Używanie algorytmów z rodziny SHA-1/-2 (np. SHA-512) już samo w sobie zbyt bezpieczne nie jest (zbyt szybko można je generować). Powinieneś skorzystać ze wspomnianego wcześniej crypt bądź password_hash i bezpiecznego algorytmu, np. Blowfish.
Czy używanie crypt / password_hash & Blowfish nie jest najzwyczajniej w świecie mówiąc przerostem formy nad treścią? Samo hashowanie haseł ma przecież na celu ich ochronę tylko w przypadku dostania się do bazy intruza (czy to poprzez SQL Injection, czy konwencjonalnie - przez wejście do PMA). Czy zatem nie prościej byłoby po prostu zapisywać w formie zahashowanej hasło i sól prywatną dla każdego użytkownika? Nawet po zdobyciu jakimś cudownym trafem kopii danych z bazy przez potencjalnego intruza, jak długo trwałoby znalezienie metodą brute force właściwego hasła dla jednego użytkownika? To w sumie 16^128 kombinacji, bardzo, bardzo dużo. I oczywiście łamanie hasła odbywa się nie dla wszystkich użytkowników z bazy, ale dla pojedynczego.
To teraz pytanie: czy nie wystarczy po prostu wrzucić zwykłe sprawdzanie czy w ciągu ostatnich 15 minut nastąpiło co najmniej 5 prób nieudanego logowania i jeżeli tak, to odmawiać kolejnych logowań? Sam kiedyś stworzyłem taki system i korzystam z niego do dziś, bo jest w miarę bezpieczny. Owszem, nie użyłbym go do zabezpieczenia strony jakiegoś banku, ale na potrzeby zwykłych serwisów czy portali sprawdza się znakomicie. Czy jest zatem sens bawienia się w tego typu rzeczy? Jeżeli istnieje jakiś sensowny argument, to proszę go przytoczyć - nie chce się kłócić, i z wielką chęcią zmieniłbym nawyki, jeżeli obecne okazałyby się mało bezpieczne, ale musi istnieć konkretna przyczyna, a nie że podnosimy i tak już wysoko zawieszoną poprzeczkę.
To teraz pytanie: czy nie wystarczy po prostu wrzucić zwykłe sprawdzanie czy w ciągu ostatnich 15 minut nastąpiło co najmniej 5 prób nieudanego logowania i jeżeli tak, to odmawiać kolejnych logowań? Sam kiedyś stworzyłem taki system i korzystam z niego do dziś, bo jest w miarę bezpieczny. Owszem, nie użyłbym go do zabezpieczenia strony jakiegoś banku, ale na potrzeby zwykłych serwisów czy portali sprawdza się znakomicie. Czy jest zatem sens bawienia się w tego typu rzeczy? Jeżeli istnieje jakiś sensowny argument, to proszę go przytoczyć - nie chce się kłócić, i z wielką chęcią zmieniłbym nawyki, jeżeli obecne okazałyby się mało bezpieczne, ale musi istnieć konkretna przyczyna, a nie że podnosimy i tak już wysoko zawieszoną poprzeczkę.
@ZaqU: W kontekście bezpieczeństwa zawsze będę reprezentować wręcz paranoiczną postawę. 
1. password_hash z blowfishem wymaga takiej samej ilości pracy co sha512 z solą. W obu przypadkach... bardzo, bardzo mało. A w sumie powiedziałbym nawet, że jest to prostsze w obsłudze.
2. Co z tego, że jakiś hash daje 16^x kombinacji skoro i tak połowa użytkowników Twojego serwisu będzie miała hasła pokroju "qwerty", "internet123" czy "dupa.8"? Atakujący raczej na start rzuci jakiś atak słownikowy niż brute-force. I w przypadku takiego sha512 wygeneruje kilkaset czy kilka tysięcy kombinacji na sekundę, a przy blowfishu raczej kilka-kilkanaście.
3. Tutaj mówimy konkretnie o przypadku gdy intruz wpadł w posiadanie hasha naszego hasła, a nie o samym logowaniu, nie mniej jednak blokowanie możliwości zalogowania po x próbach jest słabym pomysłem - lepiej jest wymusisz jakąś CAPTCHA-e - sam niejednokrotnie zapominałem hasła do jakiś serwisów i potrzebowałem 10-20 prób na zalogowanie się.
1. password_hash z blowfishem wymaga takiej samej ilości pracy co sha512 z solą. W obu przypadkach... bardzo, bardzo mało. A w sumie powiedziałbym nawet, że jest to prostsze w obsłudze.
2. Co z tego, że jakiś hash daje 16^x kombinacji skoro i tak połowa użytkowników Twojego serwisu będzie miała hasła pokroju "qwerty", "internet123" czy "dupa.8"? Atakujący raczej na start rzuci jakiś atak słownikowy niż brute-force. I w przypadku takiego sha512 wygeneruje kilkaset czy kilka tysięcy kombinacji na sekundę, a przy blowfishu raczej kilka-kilkanaście.
3. Tutaj mówimy konkretnie o przypadku gdy intruz wpadł w posiadanie hasha naszego hasła, a nie o samym logowaniu, nie mniej jednak blokowanie możliwości zalogowania po x próbach jest słabym pomysłem - lepiej jest wymusisz jakąś CAPTCHA-e - sam niejednokrotnie zapominałem hasła do jakiś serwisów i potrzebowałem 10-20 prób na zalogowanie się.
Cytat(Crozin @ 21.04.2014, 13:08:50 )
I w przypadku takiego sha512 wygeneruje kilkaset czy kilka tysięcy kombinacji na sekundę...
Dzisiaj z wykorzystaniem GPU to już nie tysiące, ale miliony.
Cytat
Dzisiaj z wykorzystaniem GPU to już nie tysiące, ale miliony.
Aż sprawdziłem kilkuletni, podrzędnej klasy laptop z którego właśnie piszę... 150 milionów MD5 na sekundę - SHA512 pewnie byłoby w okolicach 100M.
Cytat(Crozin @ 21.04.2014, 14:50:40 )
Aż sprawdziłem kilkuletni, podrzędnej klasy laptop z którego właśnie piszę... 150 milionów MD5 na sekundę - SHA512 pewnie byłoby w okolicach 100M.
Z tymi 100M przy SHA512 to nie byłbym taki optymistyczny
Wszystko oczywiście zależy od karty, ale nawet GTX580 (NVIDIA) ma w przypadku SHA512 ~114M/s (MD5 ~2414M/s). Dla porównania HD6990 (AMD) ma dla SHA512 ~217M/s (MD5 ~10742M/s)Dane z http://hashcat.net/oclhashcat/
Cytat(Crozin @ 21.04.2014, 13:08:50 )
2. Co z tego, że jakiś hash daje 16^x kombinacji skoro i tak połowa użytkowników Twojego serwisu będzie miała hasła pokroju "qwerty", "internet123" czy "dupa.8"?
Na szczęście, jako programiści za idiotów nie odpowiadamy - jak ktoś im się włamie na konto, bo ustawią sobie hasło 1234, to będzie to ich wina. A przecież chyba nie muszę nikomu przypominać, że 90-95% przypadków, gdy ktoś uzyskał dostęp do cudzego konta wynikało z winy użytkownika, a nie luki w systemie - a przed tym zabezpieczyć się nie da.
Cytat(Crozin @ 21.04.2014, 13:08:50 )
3. Tutaj mówimy konkretnie o przypadku gdy intruz wpadł w posiadanie hasha naszego hasła, a nie o samym logowaniu, nie mniej jednak blokowanie możliwości zalogowania po x próbach jest słabym pomysłem - lepiej jest wymusisz jakąś CAPTCHA-e - sam niejednokrotnie zapominałem hasła do jakiś serwisów i potrzebowałem 10-20 prób na zalogowanie się.
Jak kto lubi
Ja jestem przeciwnikiem używania CAPTCHY, bo to programista powinien właściwie zabezpieczyć swój system, a nie przerzucać obowiązki na użytkownika. Osobiście prędzej wyrzuciłbym monitor przez okno niż dał się namówić na przepisywanie 20 razy pod rząd zamazanego i ledwo widocznego tekstu z obrazka. Bo w sumie, jakby nie patrzeć... dobry system to taki, który ułatwia użytkownikowi życie, a nie je utrudnia.
Jak już mowa o "capatch'y",
Google Street Viev potrafi odczytać numery domów czyt.
złamać/odczytać capatche lepiej niż człowiek.
czytałem o tym kilka dni temu (np. tu jest o tym, tyle że ja czytałem inny artykuł w którym było że hakerzy mogą to wykorzystać)
ale skoro już mowa to i pytanie bo właśnie miałem myśl...
"Hmm co by tu dodać na anty-spam..."
i pierwsze co mi przyszło na myśl to capatcha obrazkowa.
Jednak, jest coś lepszego? pomimo że ponoć capatcha także należy do google (mogę się mylić) to coś czuję że za parę lat to będzie równoznaczne z zabezpieczeniami jak "5 + 2 * 1, wpisz wynik w tym polu: "
a zabezpiecznie po IP to chyba już nie ta epoka ;| ale dodać zawsze można dla mniej sprytnych userów - tyle że można tym pokarać także niewinnych
Tak więc, są może jakieś propozycje co zamiast:
* capatch'y
* blokady po IP?
Google Street Viev potrafi odczytać numery domów czyt.
złamać/odczytać capatche lepiej niż człowiek.
czytałem o tym kilka dni temu (np. tu jest o tym, tyle że ja czytałem inny artykuł w którym było że hakerzy mogą to wykorzystać)
ale skoro już mowa to i pytanie bo właśnie miałem myśl...
"Hmm co by tu dodać na anty-spam..."
i pierwsze co mi przyszło na myśl to capatcha obrazkowa.
Jednak, jest coś lepszego? pomimo że ponoć capatcha także należy do google (mogę się mylić) to coś czuję że za parę lat to będzie równoznaczne z zabezpieczeniami jak "5 + 2 * 1, wpisz wynik w tym polu: "
a zabezpiecznie po IP to chyba już nie ta epoka ;| ale dodać zawsze można dla mniej sprytnych userów - tyle że można tym pokarać także niewinnych
Tak więc, są może jakieś propozycje co zamiast:
* capatch'y
* blokady po IP?
Blokady IP możesz śmiało stosować w stosunku do znanych spamerów - gotowe uaktualniane listy znajdziesz w sieci. Dzięki temu jesteś w stanie wykluczyć chociaż sporą liczbę botów próbujących automatycznej rejestracji / logowania.
Cytat
Na szczęście, jako programiści za idiotów nie odpowiadamy - jak ktoś im się włamie na konto, bo ustawią sobie hasło 1234, to będzie to ich wina.
Co z tego, że to idioci. Jeśli mogę właściwie zerowym kosztem ochronić takie osoby przed przejęciem ich konta powinienem to zrobić.Cytat
[...]Osobiście prędzej wyrzuciłbym monitor przez okno niż dał się namówić na przepisywanie 20 razy pod rząd zamazanego i ledwo widocznego tekstu z obrazka.[...]
Ja tam jednak wolę przepisać ten durny obrazek po 10 nieudanym zalogowaniu niż otrzymać informację, że przez następne 15 minut w ogóle nie będę miał możliwości próby zalogowania. Ale... jak kto lubi. Cytat
[...] pomimo że ponoć capatcha także należy do google (mogę się mylić) to coś czuję że za parę lat to będzie równoznaczne z zabezpieczeniami jak "5 + 2 * 1
CAPTCHA to tylko pojęcie i nie należy do nikogo. reCAPTCHA to już konkretny produkt Google'a.
Dodatkowe pytanie (layout), jest to mój pierwszy pisany od zera, wygląda gorzej niż osób które wydawały w 2007 ale nie jest to dział do ocen ani nic więc proszę tego nie krytykować bo od czegoś muszę zacząć oraz też poprawności html bo jest tylko do testowania,
a pytanie: jak mogę zrobić żeby diva content nie psuł długi tekst?
taki sam efekt z długim tekstem uzyskiwałem przy krótkim gdy content był zwykłym divem bez float left.
Ps. jestem początkujący w html/css - uczyłem się rok temu ale nadal słabo mi idzie.
Ps. 2. chcę się tu ograniczyć do samego html i css (żadnego js.)
a pytanie: jak mogę zrobić żeby diva content nie psuł długi tekst?
taki sam efekt z długim tekstem uzyskiwałem przy krótkim gdy content był zwykłym divem bez float left.
Ps. jestem początkujący w html/css - uczyłem się rok temu ale nadal słabo mi idzie.
Ps. 2. chcę się tu ograniczyć do samego html i css (żadnego js.)
Co znaczy, że długi tekst psuje #content?
Cytat(Turson @ 25.04.2014, 09:38:16 )
Co znaczy, że długi tekst psuje #content?
Menu lewe i header zostaje u góry, content jest na środku pod menu a menu2 i footer idzie na dół pod content,
##########
###
#*#
#~#
###
Lorem Ipsum (długi...)
__________###
__________#*#
__________#~#
__________###
##########
a gdy jest krótki tekst działa normalnie.
header nad wszystkim, menu u góry, menu2 na przeciwko menu, content pomiędzy menu a menu2 i stopka równo pod menu i menu2
##########
###...____###
#*#______#*#
#~#______#~#
###______###
##########
edit: dodalem jak to mniej więcej wygląda.
# header, footer, menu i menu2 (obramowanie)
* treść menu
_ to spacje
~ pusta treść.
Najlepiej pokaż jakieś demko.
Dla #content nadaj overflow:hidden
Poza tym mieszasz floaty dla #menu i #menu2. Najpier dajesz left, potem każdego z osobna inny.
Dla #content nadaj overflow:hidden
Poza tym mieszasz floaty dla #menu i #menu2. Najpier dajesz left, potem każdego z osobna inny.
Cytat(Turson @ 25.04.2014, 12:32:58 )
Najlepiej pokaż jakieś demko.
Dla #content nadaj overflow:hidden
Poza tym mieszasz floaty dla #menu i #menu2. Najpier dajesz left, potem każdego z osobna inny.
Dla #content nadaj overflow:hidden
Poza tym mieszasz floaty dla #menu i #menu2. Najpier dajesz left, potem każdego z osobna inny.
demko dałem, pisałem trochę wcześniej ale szybciej o parę minut wyslales ;p ,
overflow:hidden; dodalem i bez zmian :/
float left (menu) float right (menu2) było to zamienialem float right na left w menu2
i tak wygląda na szybko:
##########
###
###
.................
###
###
##########
i najważniejsze:
dodałem
width:400px;
height:200px;
dla content i działa idalnie, ale czy to nie zawodne? ;p bo nie wiem czy u innych też tak działa
edit2: dodalem 2x dłuższy Lorem ipsum (w sumie już ma 4x Lorem...) i ucina tekst (znika) pod stopka
Jeżeli dałeś height:200px to co dziwnego w tym, że ucina? Daj min-height:200px
Cytat(Turson @ 25.04.2014, 13:00:42 )
Jeżeli dałeś height:200px to co dziwnego w tym, że ucina? Daj min-height:200px
Działa, a da się jeszcze zrobić żeby menu lewe i prawe się rozciągało z góry na dół do footer? bo po dłuższym tekście idzie w dół footer.. a reszta ok
Przeglądam plik css jednej gry,
jest tam coś na podobe tego:
i jest dokładnie tak jak napisałem,
- jak to się nazywa?
- jak mogę takie coś użyć?
edit: przy okazji. Niektóre strony np. fb mają html zakodowany w base64, dla przykładu, jak się na operze wejdzie w stronę i nią zapisze, + wejdzie się w kod to jest on w base64, a w przeglądarce pokazuje normalnie, jak można takie coś zrobić?
, przyda się pewnie, ps. wiem co to base64_encode ale nie mam pomysłu jak to użyć, o ile to tym zakodowuje.
jest tam coś na podobe tego:
i jest dokładnie tak jak napisałem,
- jak to się nazywa?
- jak mogę takie coś użyć?
edit: przy okazji. Niektóre strony np. fb mają html zakodowany w base64, dla przykładu, jak się na operze wejdzie w stronę i nią zapisze, + wejdzie się w kod to jest on w base64, a w przeglądarce pokazuje normalnie, jak można takie coś zrobić?
, przyda się pewnie, ps. wiem co to base64_encode ale nie mam pomysłu jak to użyć, o ile to tym zakodowuje.
To jest składnia dla np.
Czyli klasa bbb jest w klasie aaa
Tym sposobem możesz róznie ostylować .bbb powyższego przykładu i dla
O base64 przeczytasz dużo w wyszukiwarce
Cytat(Turson @ 26.04.2014, 19:27:46 )
To jest składnia dla np.
czyli że
jest równo ważne z
Nie jest.
oznacza, że jest to selektor dla elementów o klasie bbb, które mają przodka z klasą aaa.
to selektor dla elementów o klasie aaa i/lub klasie bbb
Jeszcze możesz się spotkać z:
Co oznacza, że jest to selektor dla elementów, które mają przypisane obydwie klasy.
oznacza, że jest to selektor dla elementów o klasie bbb, które mają przodka z klasą aaa.
to selektor dla elementów o klasie aaa i/lub klasie bbb
Jeszcze możesz się spotkać z:
Co oznacza, że jest to selektor dla elementów, które mają przypisane obydwie klasy.
~ PHP ~
1. nie mogę nigdzie znaleść: co robi &$zmienna? a robi pewnie coś (przykład: $a = &$b; ) //trochę off-top z tym ale chyba niema po co zakładać tematu którego nawet nazwy bym nie znał (dodatkowo pewnie już gdzieś jest na forum ale nie wiem jak to szukać) znajduję tylko same rzeczy typu if ($x && $y)....... a o to mi nie chodzi.
2. Jak mogę zliczyć różnice czasu i dat? - artykułów jest pełno ale całkowicie nie na temat, jest tylko dodawanie dat itd, a chce zrobić coś takiego:
Zliczenie ile czasu mięło od podanej daty do aktualnej; a konkretniej od daty wygenerowanej przez SQL NOW() do drugiej daty NOW(), chodzi mi żeby liczyło różnice sekund, minut, godzin dni, miesięcy, lat; //tego też nigdzie nie mogę znaleść. (Zliczenie ile łącznie użytkownik był online)
1. nie mogę nigdzie znaleść: co robi &$zmienna? a robi pewnie coś (przykład: $a = &$b; ) //trochę off-top z tym ale chyba niema po co zakładać tematu którego nawet nazwy bym nie znał (dodatkowo pewnie już gdzieś jest na forum ale nie wiem jak to szukać) znajduję tylko same rzeczy typu if ($x && $y)....... a o to mi nie chodzi.
2. Jak mogę zliczyć różnice czasu i dat? - artykułów jest pełno ale całkowicie nie na temat, jest tylko dodawanie dat itd, a chce zrobić coś takiego:
Zliczenie ile czasu mięło od podanej daty do aktualnej; a konkretniej od daty wygenerowanej przez SQL NOW() do drugiej daty NOW(), chodzi mi żeby liczyło różnice sekund, minut, godzin dni, miesięcy, lat; //tego też nigdzie nie mogę znaleść. (Zliczenie ile łącznie użytkownik był online)
1. http://www.php.net/manual/en/language.references.pass.php
2. Ostatnio w dziale PHP był temat o obliczaniu czasu
2. Ostatnio w dziale PHP był temat o obliczaniu czasu
PHP - Ciastka
a co myślicie o tym żeby dodatkowo blokować użytkowników w ciastkach na dzień? lub tydzień jeśli spamerzy? zadziała na strony jeśli są spamerskie?
ps. wiem że ciastka można blokować oraz kasować, ale istnieje nie jeden mniej sprytny użytkownik a ja nie pogardze żadnym zabezpieczeniem które coś wniesie.
Ciastka vs Sesje
planuję w sesjach przechowywac id użytkownika a w ciastkach nick, czy dobrze tak będzie?!, bo forum.php.pl jak widzę ma w ciastkach zalogowanie; jak się nie mylę... bo po kasacji ciastek przeglądarki mnie wylogowalo a gdzieś czytałem że sesje korzystają i tak z ciastek.
a co myślicie o tym żeby dodatkowo blokować użytkowników w ciastkach na dzień? lub tydzień jeśli spamerzy? zadziała na strony jeśli są spamerskie?
ps. wiem że ciastka można blokować oraz kasować, ale istnieje nie jeden mniej sprytny użytkownik a ja nie pogardze żadnym zabezpieczeniem które coś wniesie.
Ciastka vs Sesje
planuję w sesjach przechowywac id użytkownika a w ciastkach nick, czy dobrze tak będzie?!, bo forum.php.pl jak widzę ma w ciastkach zalogowanie; jak się nie mylę... bo po kasacji ciastek przeglądarki mnie wylogowalo a gdzieś czytałem że sesje korzystają i tak z ciastek.
1. Nie zaszkodzi blokować po ciastkach, ale to zabezpieczenie nie może być jedynym.
2. Ciatka można także zmieniać. Trzymaj w sesji.
2. Ciatka można także zmieniać. Trzymaj w sesji.
Cytat(ZaXaZ @ 30.04.2014, 15:03:22 )
gdzieś czytałem że sesje korzystają i tak z ciastek.
W ciastku jest przechowywany identyfikator sesji, tak aby serwer wiedział, którą sesję (którego użytkownika sesję) ma odtworzyć przy nawigacji po stronie.
Kiedy usuniesz to ciastko, to nadal plik sesji istnieje na serwerze, ale nie ma możliwości jej odtworzenia/powiązania.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.