PHP ouverture de session et cookie

Sur mon site PHP, les utilisateurs peuvent se connecter et avoir la possibilité de cocher la case "se Souvenir de moi" pour définir un cookie.

Que dois-je ranger comme un SESSION variable? Le nom d'utilisateur, mot de passe haché et user ID, ou seulement le user ID? Si je ne stocker le user ID, ne serait-il pas possible pour quelqu'un de modifier la SESSION et changer l'ID?

Ce sujet de la COOKIE? Dois-je stocker uniquement les user ID? Autant que je sache, les cookies peuvent être modifiés par l'utilisateur final...

OriginalL'auteur Adam Strudwick | 2013-07-05

20

Il semble que vous n'avez pas une vision claire des sessions et des cookies!

Pas de corps peut changer la session table des matières à l'exception de votre code (à côté d'attaques). Ainsi, vous pouvez stocker tout (raisonnable) comme user id ou username que vous avez besoin d'accéder fréquemment. dans les cookies, vous devez stocker de l'obfuscation d'informations que vous pouvez reconnaître que plus tard, quand il/elle tente d'accéder à votre page. en se basant sur le contenu de cookie vous pouvez régénérer les utilisateurs de la session (c'est à dire. re-connexion de l'utilisateur automatiquement). Juste à noter que l'utilisateur PEUT modifier les cookies contenu de sorte qu'il ne doit pas être quelque chose de simple comme user id pour des raisons de sécurité.

Je vous donne juste un exemple simple, il est loin d'être parfait, mais pas mal! vous devrez peut-être l'adapter à votre scénario:

ici, vous pouvez créer le contenu de cookie comme ceci:
```
$salt = substr (md5($password), 0, 2);
$cookie = base64_encode ("$username:" . md5 ($password, $salt));
setcookie ('my-secret-cookie', $cookie);
```
et, plus tard, à une re-connexion de l'utilisateur que vous faites:
```
$cookie = $_COOKIE['my-secret-cookie'];
$content = base64_decode ($cookie);
list($username, $hashed_password) = explode (':', $hash);

//here you need to fetch real password from database based on username. ($password)
if (md5($password, substr(md5($password), 0, 2)) == $hashed_password) {
    //you can consider use as logged in
    //do whatever you want :)
}
```
Mise à JOUR:

J'ai écrit cet article que recouvre ce concept. Espérons que cela aide.

Merci pour les précisions ; pouvez-vous donner des meilleures pratiques pour l'utilisation de cookies permettant de vous connecter à nouveau à un utilisateur? Je ne peux pas savoir comment j'allais procéder...
vérifier la mise à jour! le code est écrit à la volée! donc, si vous voyez des fautes de frappe ou de bugs, je suis désolé pour essayer de le réparer ou de me dire le problème
Merci, ça me semble une bonne approche. Que pensez-vous de ceci: fishbowl.pastiche.org/2004/01/19/... ? Me paraissent excellentes. Mais est-il obsolète?
Ce n'est pas si mauvais, mais considérer dans cette solution dont vous avez besoin pour stocker le nombre aléatoire, il a mentionné en DB. C'est plus fort que ma solution aussi loin que vous pouvez créer, vraiment bonne RANDOM nombre pour éviter les attaques de force brute. utilisez votre bon sens et de choisir ce que jamais vous pense que c'est mieux adaptée à votre contexte du programme.
Vous êtes à l'aide de md5 pour cacher un mot de passe. Ne le faites pas, pour quelque raison que ce soit. Il est généralement préférable de créer un complètement aléatoire, la valeur de ce souvenir de moi cookie et l'enregistrer comme une alternative mot de passe pour le compte utilisateur. De cette façon, il est encore plus aléatoire que le mot de passe habituel, et personne ne peut utiliser la valeur pour désosser le mot de passe.

OriginalL'auteur Boynux
4

Vous devez conserver de la valeur de session aléatoire dans le cookie. Vous certainement ne devrait pas être de stocker toutes les informations concernant l'utilisateur dans le cookie lui-même. Vous pouvez ensuite vérifier l'id de session dans le cookie sur chaque chargement de la page pour s'assurer que (a) l'utilisateur doit avoir accès à ce contenu, et (b) que l'ID de session est valide.

En PHP, vous pouvez utiliser session_set_cookie_params et session_name pour définir les paramètres du cookie.

OriginalL'auteur Stephen Cluff
1

Pour qui préfèrent l'utilisation de cookies (Donc vous pouvez y accéder de temps plus tard, même si le navigateur est fermé) c'est un moyen sûr de stocker, même approximative ID dans les cookies:
1. Créer un nouveau champ dans la base de données des utilisateurs nom il X.
2. Générer un cookie pour garder l'utilisateur ID.
3. Générer un coffre-fort (en disent long) RandomString et de la garder dans un autre biscuit.
4. Également enregistrer que la chaine de caractère aléatoire dans le domaine de la X.
5. Dans la zone membres de vérifier si les cookies de ID et RandomString match de la base de données d'informations.
6. Clair de la colonne X lorsque l'utilisateur se déconnecte et générer des données pour X à la prochaine connexion.
Pour empêcher la bibliothèque d'attaque correspond à cette chaîne de caractères aléatoires, vous pouvez également forcer la déconnexion dès que la vérification échoue ou le blocage d'IP pour un certain temps.

merci, je suivrais cette idée

OriginalL'auteur Ali Sheikhpour
0

Utilisateur ne peut pas modifier la variable de session, elles sont gérées sur le serveur.

Variable De Session Avantage

1.)Sécurisé

2.)Robuste

Session Inconvénient
1.) La durée de vie, jusqu'à la session existe ,

session de la destruction

lorsque l'utilisateur ferme son navigateur
redémarrage du serveur

session détruite à l'aide de session_destroy();

Si la session est plus sûr

Cookie sur l'autre main, laissez-vous vous souvenez de l'utilisateur prefrences

Si vous utilisez une combinaison des deux , puis son avantage à votre code
```
You can store userid and username in cookie, then verify user identity using its combination.
```
Si sa n'existe, alors vous pouvez de connexion de l'utilisateur et de garder les infos de session ainsi que la mise à jour de cookie.

OriginalL'auteur Dr_Dang

Vous devez vous connecter pour publier un commentaire.