Relácie. Podrobný popis činnosti a vysvetlenie mechanizmu. Zabezpečenie ID relácie v PHP Organizácia inurl kniha návštev php phpsessid

Skontrolujeme, či máme v relácii premennú počítadla, ak nie, potom ju vytvoríme s hodnotou 0 a potom vypíšeme jej hodnotu a zvýšime ju o jednu. Zvýšená hodnota sa zapíše do relácie a pri ďalšom volaní skriptu bude mať premenná hodnotu 1 atď. Všetko je veľmi jednoduché.

Aby ste mali prístup k premenným relácie na ktorejkoľvek stránke lokality, musíte napísať LEN JEDEN (!) riadok na úplný začiatok KAŽDÉHO súboru, v ktorom potrebujeme relácie:

session_start ();

session_start ();
ak ($ ​​_SESSION ["autorizované"]<> 1 ) {
hlavička ("Umiestnenie: /auth.php");
východ;
}

Odstránenie premenných z relácie. Ak máte register_globals = off, tak stačí napísať

deaktivované ($ _ SESSION ["var"]);

Ak nie, tak v blízkosti s ním treba napísať:

session_unregister ("var");

Je veľmi dôležité pochopiť, na čo by sa relácie mali používať a na čo nie.

Po prvé, nezabudnite, že relácie možno použiť iba vtedy, keď ich používateľ potrebuje, nie na to, aby mu prekážali. Identifikátora sa totiž môže kedykoľvek zbaviť!
Napríklad pri kontrole, že osoba vypĺňa formulár, a nie skript, samotný používateľ má záujem o to, aby relácia fungovala - inak nebude môcť formulár odoslať! Ale na obmedzenie počtu požiadaviek na skript už relácia nie je vhodná - škodlivý skript jednoducho nevráti identifikátor.

Po druhé. Je dôležité jasne pochopiť skutočnosť, že relácia je relácia práce so stránkou, ako ju chápe človek. Prišiel, pracoval, zatvoril prehliadač - relácia sa skončila. Ako filmová relácia. Ak chcete vidieť ďalší - kúpte si nový lístok. Začnite novú reláciu. Existuje na to aj technické vysvetlenie. Je zaručené, že mechanizmus relácie funguje len do zatvorenia prehliadača. Cookies totiž nemusia klientovi fungovať a v tomto prípade samozrejme po jeho zatvorení zmiznú všetky odkazy doplnené o identifikátor.

Relácia sa však môže stratiť bez zatvorenia prehliadača. Vzhľadom na obmedzenia uvedené v tomto článku nemôže modul relácie zistiť, kedy používateľ zatvoril prehliadač. Na tento účel sa používa časový limit - vopred stanovený čas, po ktorom sa domnievame, že používateľ opustil stránku. Štandardne je tento parameter 24 minút.

Ak chcete ukladať informácie o používateľovi na dlhšiu dobu, použite súbory cookie a v prípade potreby databázu na serveri. Najmä takto fungujú všetky populárne autorizačné systémy:

Po identifikácii užívateľa sa spustí relácia a v nej sa prenesie znak oprávnenia.
- Ak je potrebné si užívateľa "zapamätať", tak sa mu nastaví cookie, ktorá ho identifikuje.
- Keď používateľ nabudúce vstúpi na stránku, aby sa mohol prihlásiť, musí buď zadať heslo, alebo ho systém sám rozpozná podľa predtým nastavených súborov cookie a relácia sa spustí. Nová relácia namiesto pokračovania v starej.

Po tretie, neoplatí sa začínať relácie bez rozdielu pre každého, kto vstupuje na stránku. Vznikne tak úplne zbytočná záťaž. Nepoužívajte relácie na maličkosti - napríklad v pultoch. To, čo spilogue nazýva relácie, sa, samozrejme, počíta na základe štatistiky hovorov a nie pomocou mechanizmu relácie podobného PHP.

Navyše, zoberme si vyhľadávač, ktorý indexuje vašu stránku. Ak vyhľadávací robot nepodporuje cookies, PHP štandardne dodá odkazom PHPSESSID, čo sa nemusí páčiť vyhľadávaču, ktorý podľa fám aj tak neuprednostňuje dynamické odkazy, ale tu platí, , s každým hovorom - nová adresa!

Ak sa relácie používajú na obmedzenie prístupu k uzavretej časti webu, potom je všetko len vyhľadávač a nemalo by sa indexovať. Ak musíte rovnakú stránku zobraziť autorizovaným aj neoprávneným používateľom, potom vám pomôže tento trik - spustiť reláciu iba tým, ktorí zadali heslo, alebo tým, ktorí už reláciu začali.

Ak to chcete urobiť, na začiatku každej stránky namiesto len session_start () píšeme:

if (isset ($ _ REQUEST [názov_relácie ()])) session_start ();

teda reláciu spustíme len tým, ktorí identifikátor poslali.
V súlade s tým je potrebné ho odoslať používateľovi prvýkrát - v momente autorizácie.

Ak je názov a kôlňa správne - napíšte session_start () !

Najčastejšie chyby, ktoré PHP dáva pri pokuse o prácu s reláciami, sú:
Dvaja z nich,

Upozornenie: Nie je možné odoslať súbor cookie relácie - hlavičky už boli odoslané
Upozornenie: Nie je možné odoslať obmedzovač vyrovnávacej pamäte relácie – hlavičky už boli odoslané

spôsobené rovnakým dôvodom, riešenie je popísané v tejto skutočnosti

Upozornenie: otvorenie (/ tmp \ sess_SID, O_RDWR) zlyhalo: Žiadny takýto súbor alebo adresár (2) v ceste full_script_path na čísle riadku

predtým vyzerala

Upozornenie: Nepodarilo sa zapísať údaje relácie (súbory). Skontrolujte, či je aktuálne nastavenie session.save_path správne (/ tmp) ,

ak je preložený z angličtiny, podrobne vysvetľuje problém: cesta uvedená v php.ini k adresáru, kde sú zapísané súbory relácie, nie je dostupná. Túto chybu je najjednoduchšie opraviť. Stačí napísať adresár, ktorý existuje a je zapisovateľný, napr.

session.save_path = c: \ windows \ temp

A potom nezabudnite reštartovať Apache.

Ako sa ukazuje, ľudská inteligencia nemá hraníc, a preto musím vysvetliť:
tretie chybové hlásenie (adresár sa nedá nájsť) bude NEDOSTUPNÉ povedie k prvým dvom, pretože chybové hlásenie sa vypíše do prehliadača a po ňom nemôžete použiť hlavičky. Preto sa neponáhľajte hľadať predčasný záver, ale najprv napíšte správnu cestu!

Ďalším najčastejším problémom pri práci s reláciami je ťažké dedičstvo register_globals. NEDÁVAJTE premenným skriptu rovnaké názvy ako indexy poľa $ _SESSION!

S register_globals = on sa hodnoty navzájom prepíšu a budete zmätení.

Ak to nefunguje, ale nezobrazujú sa ani žiadne správy, pridajte na začiatok skriptu dva riadky, ktoré sú zodpovedné za zobrazenie VŠETKÝCH chýb na obrazovke - je celkom možné, že existujú chyby, ale jednoducho nevidíte ich.

ini_set ("display_errors", 1);
chybové hlásenie (E_ALL);

alebo si pozrite chyby v error_log. Vo všeobecnosti téma zobrazovania chybových hlásení presahuje rámec tohto článku, takže sa uistite, že ich aspoň vidíte. V tejto časti si môžete prečítať trochu viac podrobností o riešení problémov.

Ak ste si istí, že neexistujú žiadne chyby, ale uvedený príklad aj tak nefunguje, je možné, že PHP neumožňuje prenos id cez url, a súbory cookie z nejakého dôvodu nefungujú.
Pozrite sa, čo máte so súbormi cookie.

Vo všeobecnosti, ak vaše relácie „nefungujú“, skúste najskôr preniesť identifikátor relácie ručne, to znamená vytvoriť odkaz a priradiť mu identifikátor:

Keď to robíte, uistite sa, že direktíva session.use_only_cookies nie je povolená, čo bráni PHP akceptovať ID relácie, ak prešlo cez URL.

Ak tento príklad nefunguje, potom je problém buď v banálnom preklepy(polovica „problémov“ s reláciami pochádza z nesprávne napísaného názvu premennej), alebo v príliš starej verzii PHP: podpora relácií sa objavila vo verzii 4.0 a pole $ _SESSION- v 4.1 (predtým používané $ HTTP_SESSION_VARS).

Ak to funguje, problém je v súboroch cookie. Sledovať – aké súbory cookie server ukladá do prehliadača, či ich prehliadač vracia. Vyhľadávanie je veľmi užitočné pri pohľade na výmenu hlavičiek HTTP medzi prehliadačom a serverom.

Vysvetlenie, ako fungujú súbory cookie, je nad rámec tohto a toľkého textu, ale aspoň sa uistite, že server odosiela súbory cookie s identifikátorom a prehliadač sa vráti. A zatiaľ čo identifikátory sa navzájom zhodujú =)
Nastavenie cookies by malo vyzerať takto

Set-Cookie: PHPSESSID = prlgdfbvlg5fbsbshch6hj0cq6;

Set-Cookie: PHPSESSID = prlgdfbvlg5fbsbshch6hj0cq6; cesta = /

(ak požadujete skript nie z koreňového adresára)
Odpoveď servera by mala vyzerať takto

Súbor cookie: PHPSESSID = prlgdfbvlg5fbsbshch6hj0cq6

Súbor cookie: PHPSESSID = prlgdfbvlg5fbsbshch6hj0cq6; b = b

ak prehliadač vráti súbory cookie iné ako ID relácie.

Ak príklad odtiaľto funguje, ale váš vlastný kód nie, potom problém zjavne nie je v reláciách, ale v algoritme. Vyhľadajte, kde ste stratili premennú, preneste príklad odtiaľto krok za krokom, odlaďte svoj skript.

Preto musíte identifikátor pridať ručne, napríklad takto:

hlavička ("Umiestnenie: /script.php?". názov_relácie (). "=". ID_relácie ());

Problém je tiež veľmi zriedkavý a nie je úplne jasné, odkiaľ problém pochádza, že nastavenie session.save_handler má inú hodnotu ako súbory. Ak to tak nie je, opravte to.

• Okrem súborov cookie mechanizmus relácie odosiela aj hlavičky, ktoré zakazujú ukladanie stránok do vyrovnávacej pamäte (rovnaký obmedzovač vyrovnávacej pamäte). Pre html je to správne a potrebné. Keď sa však pokúsite odoslať súbor so skriptom, ktorý kontroluje autorizáciu, Internet Explorer ho odmietne stiahnuť. Je to kvôli tomuto titulu. Zavolajte
  session_cache_limiter ("súkromné");
  musí vyriešiť problém pred začatím relácie.
• Napodiv, ale v poli $ _SESSION nemôžete použiť číselné indexy - $ _SESSION [1], $ _SESSION ["10"]- relácie nebudú fungovať.
• Niekde medzi 4.2 a 5.0 nebolo možné nastaviť session.use_trans_sid pomocou ini_set ()... Od 5.0 je to už opäť možné.
• Pred verziou 4.3.3 súbory cookie PHP odosielalo súbory cookie iba v prípade, že požiadavka na začiatku relácie neobsahovala identifikátor. Teraz sa súbory cookie odosielajú pri každom hovore session_start
  
  

  Ak máte ďalšie otázky alebo vám niečo nie je jasné, vitajte u nás

Od samého začiatku všetci prijali PHP s nadšením, no akonáhle začali vytvárať dostatočne veľké projekty v tomto jazyku, vývojári čelili novému problému – v PHP neexistoval koncept globálnych premenných! To znamená, že bol spustený skript, odoslaná vygenerovaná stránka klientovi a všetky zdroje používané týmto skriptom boli zničené. Pre ilustráciu povedzme, že na tej istej lokalite sú dve stránky, index.php a dothings.php. Zdroje pre tieto stránky vyzerajú takto:

Ak spustíte tieto dva skripty, tak na prvej stránke uvidíme nápis „Bol som priradený k index.php“ a druhá stránka bude prázdna.

Vývojári webových stránok bez váhania začali používať cookies na ukladanie globálnych premenných na strane klienta. Proces vyzeral asi takto: používateľ príde na domovskú stránku lokality, vykoná nejakú akciu a všetky informácie súvisiace s týmto používateľom, ktoré môžu byť požadované na iných stránkach lokality, sa uložia do jeho prehliadača vo forme koláčika. Táto metóda má dosť vážne nevýhody, kvôli ktorým sa veľa vývojárov naraz otočilo chrbtom k PHP. Napríklad potrebujeme autorizovať používateľa, aby sme mu umožnili prístup do obmedzených (alebo len jeho vlastných) sekcií webu. Používateľovi budete musieť poslať súbor cookie, ktorý bude slúžiť ako jeho následný identifikátor na stránke. Tento prístup sa stáva veľmi ťažkopádnym a nepohodlným, akonáhle stránka začne zhromažďovať stále viac informácií o správaní používateľov, pretože všetky informácie odosielané používateľovi by mali byť prednostne zakódované, aby ich nebolo možné sfalšovať. Prednedávnom bolo možné predstieraním súboru cookie „naskladať“ viac ako jeden rozhovor a niekedy sa dokonca dostať do pošty niekoho iného. Okrem toho sú na svete stále čudní ľudia, ktorých prehliadač nepodporuje cookies.

Nebudem sa venovať technologickým otázkam štruktúry mechanizmu relácie, ale len popíšem, ako správne pracovať so reláciami v PHP.

Ako pracovať s reláciami?

Ak otestujete príklady z článku (alebo vaše skripty) na akomkoľvek komerčnom hostingu, nemali by byť s prácou s reláciami žiadne problémy. Ak si svoj server nastavíte sami (či už ide o skutočný server alebo emulátor), môžu sa objaviť chyby s nasledujúcim obsahom:

"Upozornenie: otvorenie (/ var / stav / php / sess_6f71d1dbb52fa88481e752af7f384db0, O_RDWR) zlyhalo: Žiadny takýto súbor alebo adresár (2)".

Znamená to len, že váš PHP je nesprávne nakonfigurovaný. Tento problém môžete vyriešiť zapísaním správnej cesty (do existujúceho adresára) na uloženie relácií do súboru php.ini a reštartovaním servera.

Každý skript, ktorý bude používať premenné (údaje) z relácií, by mal obsahovať nasledujúci riadok:

Session_start ();

Tento príkaz hovorí serveru, že daná stránka potrebuje všetky premenné, ktoré sú priradené k danému používateľovi (prehliadaču). Server vezme tieto premenné zo súboru a sprístupní ich. Je veľmi dôležité otvoriť reláciu pred odoslaním akýchkoľvek údajov používateľovi; v praxi to znamená, že funkciu session_start () je vhodné volať hneď na začiatku stránky, napríklad:

Session_start (); ?> ... Na nastavenie adresára, do ktorého sa budú súbory relácie ukladať, použite funkciu session_save_path (): session_save_path ($ _ SERVER ["DOCUMENT_ROOT"]. "/ Session"); session_start ();

Po spustení relácie môžete nastaviť globálne premenné. Pri priraďovaní hodnoty ľubovoľnému poľu v poli $ _SESSION sa premenná s rovnakým názvom automaticky zaregistruje ako premenná relácie. Toto pole je dostupné na všetkých stránkach používajúcich reláciu. Napríklad, poďme analyzovať program:

Keď sa tieto súbory spúšťajú postupne, prvý skript „index.php“ vytvorí nasledujúci výsledok:

A druhý "dothings.php" je toto:

Premenná $ a je teraz k dispozícii na všetkých stránkach tohto webu, ktoré začali relácie.

Ďalšie užitočné funkcie a techniky na prácu s reláciami:

• nenastavené ($ _ SESSION ["a"])- relácia "zabudne" hodnotu premennej nastavenej reláciou;
• session_destroy ()- relácia je zničená (napríklad ak používateľ opustil systém stlačením tlačidla "exit");
• session_set_cookie_params (int lifetime [, cesta reťazca [, doména reťazca]])- pomocou tejto funkcie môžete nastaviť, ako dlho bude relácia "žiť" nastavením unix_timestamp, ktorý určuje čas, kedy relácia "zomrie". V predvolenom nastavení relácia „žije“, kým klient nezavrie okno prehliadača.
• session_write_close ()- zaznamenávanie premenných relácie a jej zatvorenie. Toto je potrebné na otvorenie stránky v novom okne, ak stránka vykonáva dlhé spracovanie a zablokovala súbor relácie pre váš prehliadač.

Príklady

Teraz prejdime k praktickej aplikácii mechanizmu relácie. Tu sa pozrieme na niekoľko pomerne jednoduchých, ale užitočných príkladov.

Autorizácia používateľa

Otázky týkajúce sa autorizácie používateľov pomocou relácií PHP sú neustále kladené na konferenciách o webovom programovaní. Mechanizmus autorizácie používateľov v systéme pomocou relácií je z bezpečnostného hľadiska celkom dobrý (pozri časť).

Náš príklad bude pozostávať z troch súborov: index.php, authorize.php a secretplace.php. Súbor index.php obsahuje formulár, kde užívateľ zadá svoje užívateľské meno a heslo. Tento formulár odovzdá údaje do súboru authorize.php, ktorý v prípade úspešnej autorizácie umožní užívateľovi prístup k súboru secretplace.php a v opačnom prípade zobrazí chybové hlásenie.

Príklady: index.php

Bezpečnosť

Dokážeme teda preniesť identifikátor z jednej stránky (PHP skript) na druhú (až do ďalšieho hovoru z našej stránky), čo znamená, že dokážeme rozlíšiť všetkých návštevníkov stránky. Keďže identifikátor relácie je veľmi veľké číslo (128 bitov), ​​nie je prakticky žiadna šanca, že bude hrubou silou. Útočníkovi teda zostávajú nasledujúce možnosti:

• v počítači používateľa je trójsky kôň, ktorý kradne čísla relácií;
• Útočník zachytáva komunikáciu medzi počítačom používateľa a serverom. Samozrejme, existuje bezpečný (šifrovaný) protokol SSL, no nie každý ho používa;
• sused prišiel k počítaču nášho používateľa a ukradol číslo relácie.

Takéto situácie založené na tom, že niekto niekomu niečo ukradne, vo všeobecnosti nie sú v kompetencii programátora. O to by sa mali postarať správcovia a samotní používatelia.

PHP sa však často dá oklamať. Pozrime sa na možné hackerské body v programe autorizácie používateľov:

• Súbor authorize.php - pokus uhádnuť heslo pomocou skriptu tretej strany;
• Súbor secretplace.php je pokus oklamať program zadaním hodnôt premennej $ log_user do panela s adresou prehliadača, napríklad:
  "http://www.yoursite.ru/secretplace.php? prihlásený_používateľ = hacker"

V našom programe sú teda jasne viditeľné dve „diery“, jedna je malá a nie je nijak zvlášť nápadná, no druhá je jednoducho obrovská, cez ktorú väčšina hackerov prelezie tam, kde nepotrebuje.

Nebudeme písať tony kódu na zablokovanie IP adresy a pod., ale len skontrolujeme, odkiaľ požiadavka pochádza, respektíve z ktorej stránky požiadavka prišla, ak je to nejaká stránka z nášho webu, tak je všetko v poriadku, ale vo všetkých ostatných prípadoch to dnu nevpustíme. Opravme súbor authorize.php: