Сессии в PHP

Информация - Компьютеры, программирование

Другие материалы по предмету Компьютеры, программирование

Скачать Бесплатно!
Для того чтобы скачать эту работу.
1. Пожалуйста введите слова с картинки:

2. И нажмите на эту кнопку.
закрыть



ройдём, посмотрим что там:

А второй (dothings.php) вот это:

Меня задали на index.php

Переменная $a теперь доступна на всех страницах данного сайта, которые запустили сессии.

Другие полезные функции для работы с сессиями:

session_unregister(string) - сессия значение заданной глобальной переменной;

session_destroy() - сессия уничтожается (например, если пользователь покинул систему, нажав кнопку );

session_set_cookie_params(int lifetime [, string path [, string domain]])-с помощью этой функции можно установить, как долго будет до тех пор, пока клиент не закроет окно браузера.

Примеры

Теперь обратимся к практическому применению механизма сессий. Давайте рассмотрим пару довольно простых и в то же время полезных примеров.

Авторизация Пользователя

Вопросы по авторизации пользователей с помощью PHP-сессий постоянно задаются в конференциях по web-программированию. Механизм авторизации пользователей в системе с помощью сессий довольно хорош с точки зрения безопасности (см. раздел ниже).

Наш пример будет состоять из трёх файлов: index.php, authorize.php и secretplace.php. Файл index.php содержит форму, где пользователь введёт свой логин и пароль. Эта форма передаст данные файлу authorize.php, который в случае успешной авторизации допустит пользователя к файлу secretplace.php, а в противном случае выдаст сообщение об ошибке.

Приступим: - index.php -

">

Логин:

Пароль:

- authorize.php -

<?php

// открываем сессию

session_start();

// данные были отправлены формой?

if($Submit){

// проверяем данные на правильность... в данном случае я

// вписал имя пользователя и пароль прямо в код, целесообразней

// было бы проверить логин/пароль в базе данных и при сов-

// падении дать доступ пользователю...

if(($user_name=="cleo")&&($user_pass=="password")){

$logged_user = $user_name;

// запоминаем имя пользователя

session_register("logged_user");

// и переправляем его на страницу...

header("Location: secretplace.php");

exit;

}

}

// если что-то было не так, то пользователь получит сообщение об ошибке.

?>

Вы ввели неверный пароль!

- secretplace.php -

<?php

// открываем сессию

session_start();

/*

просто зайти на эту страницу нельзя... если

имя пользователя не зарегистрировано, то

перенаправляем его на страницу index.php

для ввода логина и пароля... тут на самом деле

можно много чего сделать, например запомнить

IP пользователя, и после третьей попытки получить

доступ к файлам, его закрыть.

*/

if(!isset($logged_user)){

header("Location: index.php");

exit;

}

?>

Привет, , ты на секретной странице!!! :)

Безопасность

Итак, мы умеем передавать идентификатор от одной страницы (PHP-скрипта) к другой (до следующего вызова с нашего сайта), а значит мы можем различать всех посетителей сайта. Так как идентификатор сессии - это очень большое число (128 бит), шансов, что его удастся подобрать перебором, практически нет. Поэтому злоумышленнику остаются следующие возможности:

на компьютере пользователя стоит , который ворует номера сессий;

злоумышленник отлавливает трафик между компьютером пользователя и сервером. Конечно, есть защищенный (зашифрованный) протокол SSL, но им пользуются не все;

к компьютеру нашего пользователя подошел сосед и стащил номер сессии.

Такие ситуации, основанные на том, что кто-то что-то у кого-то стащит, в общем, не входят в компетенцию программиста. Об этом должны заботиться администраторы и сами пользователи.

Впрочем, PHP очень часто можно . Давайте рассмотрим возможные точки взлома в программе авторизации пользователя:

Файл authorize.php - попытка подбора пароля с помощью стороннего скрипта;

Файл secretplace.php - попытка обмануть программу путём вписывания значений переменной $logged_user в адресной строке браузера, например так:

Итак, в нашей программе явно видны две , одна маленькая и не особо заметная, а вот вторая - просто огромная, через которую большинство хакеров и лезет туда, куда не надо.

Как дыру номер 1?

Не будем писать тонны кода по блокировке IP-адреса и т.п., а просто проверим, откуда приходит запрос, а точнее с какой страницы пришёл запрос, если это будет любая страница с нашего сайта, то всё нормально, а во всех остальных случаях пускать не будем. Подкорректируем файл authorize.php:

- authorize.php V2 -

<?php

// открываем сессию

session_start();

// полный путь к корневой директории где расположены скрипты

$SERVER_ROOT = "

// если пользователь пришёл с любой страницы нашего сайта

// то он вроде наш...

// Переменная $HTTP_REFERER всегда доступна по умолчанию

// и содержит полный адрес ссылающейся страницы...

// функция eregi() проверяет, начинается ли адрес ссылающейся страницы

// со значения в переменной $SERVER_ROOT

if(eregi("^$SERVER_ROOT",$HTTP_REFERER)){

// данные были отправлены формой?

if($Submit){

// далее все как раньше

if(($user_name=="cleo")&&($user_pass=="password")){

$logged_user = $user_name;

//

s