Seje. Podroben opis delovanja in razlaga mehanizma. Zaščita ID-ja seje v PHP Organizacija inurl knjiga gostov php phpsessid

Preverimo, ali imamo spremenljivko števca v seji, če ne, jo ustvarimo z vrednostjo 0, nato pa izpišemo njeno vrednost in jo povečamo za eno. Povečana vrednost bo zapisana v sejo in naslednjič, ko bo skript poklican, bo imela spremenljivka vrednost 1 itd. Vse je zelo preprosto.

Če želite imeti dostop do spremenljivk seje na kateri koli strani spletnega mesta, morate na samem začetku VSAKE datoteke napisati SAMO ENO (!) vrstico, v kateri potrebujemo seje:

začetek_seje ();

začetek_seje ();
če ($ _SESSION ["avtorizirano"]<> 1 ) {
glava ("Lokacija: /auth.php");
izhod;
}

Odstranjevanje spremenljivk iz seje. Če imate register_globals = off, potem samo napišite

nenastavljen ($ _ SESSION ["var"]);

Če ne, potem v bližini z njim morate napisati:

session_unregister ("var");

Zelo pomembno je razumeti, za kaj je treba seje uporabiti in za kaj ne.

Najprej ne pozabite, da se seje lahko uporabljajo samo, ko jih uporabnik potrebuje, ne pa da bi ga ovirali. Konec koncev se lahko identifikatorja kadar koli znebi!
Na primer, ko preveri, ali oseba izpolni obrazec in ne skripta, se uporabnik sam zanima, da seja deluje - sicer ne bo mogel oddati obrazca! Toda za omejitev števila zahtev za skript seja ni več primerna - zlonamerni skript preprosto ne bo vrnil identifikatorja.

Drugič. Pomembno je jasno razumeti dejstvo, da je seja seja dela s spletnim mestom, kot jo razume oseba. Prišel, delal, zaprl brskalnik - seja se je končala. Kot filmska seja. Če želite videti še enega - kupite novo vstopnico. Začnite novo sejo. Za to obstaja tudi tehnična razlaga. Zagotovljeno je, da mehanizem seje deluje le, dokler se brskalnik ne zapre. Navsezadnje piškotki morda ne bodo delovali za odjemalca in v tem primeru bodo seveda vse povezave, dopolnjene z identifikatorjem, izginile, ko bo ta zaprt.

Vendar pa je sejo mogoče izgubiti, ne da bi zaprli brskalnik. Zaradi omejitev, obravnavanih v tem članku, motor seje ne more zaznati, kdaj je uporabnik zaprl brskalnik. Za to se uporablja časovna omejitev - vnaprej določen čas, po katerem menimo, da je uporabnik zapustil spletno mesto. Privzeto je ta parameter 24 minut.

Če želite podatke o uporabniku hraniti dlje časa, uporabite piškotke in po potrebi bazo podatkov na strežniku. Zlasti tako delujejo vsi priljubljeni sistemi avtorizacije:

Ob identifikaciji uporabnika se seja začne in vanjo se prenese znak avtorizacije.
- Če je treba uporabnika "zapomniti", se mu nastavi piškotek, ki ga identificira.
- Ko uporabnik naslednjič vstopi na spletno mesto, mora za prijavo vnesti geslo ali pa ga sistem sam prepozna po prej nastavljenih piškotkih in seja se začne. Nova seja, namesto da bi nadaljevala staro.

Tretjič, ni vredno začeti sej neselektivno, za vse, ki vstopajo na spletno mesto. To bo ustvarilo popolnoma nepotrebno obremenitev. Ne uporabljajte sej za malenkosti - na primer v pultih. Kar spilog kliče seje, se seveda šteje na podlagi statistike klicev in ne z uporabo mehanizma sej, podobnega PHP.

Poleg tega vzemimo iskalnik, ki indeksira vaše spletno mesto. Če iskalni robot ne podpira piškotkov, potem bo PHP povezavam privzeto dostavil PHPSESSID, kar morda ni preveč prijetno za iskalnik, ki po govoricah tako ali tako ne daje prednost dinamičnim povezavam, tukaj pa na splošno z vsakim klicem - nov naslov!

Če se seje uporabljajo za omejevanje dostopa do zaprtega dela spletnega mesta, potem je vse le iskalnik in ga ne bi smeli indeksirati. Če morate isto stran prikazati tako pooblaščenim kot nepooblaščenim uporabnikom, bo tukaj pomagal tak trik - začeti sejo samo tistim, ki so vnesli geslo, ali tistim, ki so sejo že začeli.

Če želite to narediti, na začetku vsake strani, namesto samo session_start () pišemo:

if (isset ($ _ REQUEST [ime_seje ()])) session_start ();

tako začnemo sejo samo tistim, ki so poslali identifikator.
V skladu s tem ga je treba uporabniku poslati prvič - v trenutku avtorizacije.

Če sta ime in lopa pravilna - napiši session_start () !

Najpogostejše napake, ki jih PHP daje pri poskusu dela s sejami, so:
dva izmed njih,

Opozorilo: piškotka seje ni mogoče poslati - glave so že poslane
Opozorilo: Omejevalnika predpomnilnika seje ni mogoče poslati - glave so že poslane

zaradi istega razloga, je rešitev opisana v tem dejstvu

Opozorilo: odprtje (/ tmp \ sess_SID, O_RDWR) ni uspelo: ni takšne datoteke ali imenika (2) v full_script_path na številki vrstice

prej je bila videti kot

Opozorilo: Podatkov o seji (datoteke) ni bilo mogoče napisati. Preverite, ali je trenutna nastavitev session.save_path pravilna (/ tmp) ,

če je preveden iz angleščine, podrobno razloži težavo: pot, podana v php.ini, do imenika, kamor so zapisane datoteke seje, ni na voljo. To napako je najlažje odpraviti. Samo napišite imenik, ki obstaja in je zapisljiv, npr.

session.save_path = c: \ windows \ temp

In po tem ne pozabite znova zagnati Apache.

Kot se je izkazalo, človeška inteligenca nima meja, zato moram pojasniti:
tretje sporočilo o napaki (imenika ni mogoče najti) bo NEDOSTOPNO vodilo do prvih dveh, ker se sporočilo o napaki izpiše v brskalnik in za njim ne morete uporabiti glav. Zato ne hitite iskati prezgodnjega zaključka, ampak najprej napišite pravilno pot!

Naslednja najpogostejša težava pri obravnavi sej je težka zapuščina register_globals. NE dajajte skriptnih spremenljivk enakih imen kot indeksi matrike $_SESSION!

Z register_globals = on bodo vrednosti prepisali druga drugo in boste zmedeni.

Če ne deluje, vendar se tudi ne prikažejo nobena sporočila, dodajte dve vrstici na samem začetku skripta, ki sta odgovorni za prikaz VSEH napak na zaslonu - povsem možno je, da so napake, vendar jih preprosto ne vidite njim.

ini_set ("display_errors", 1);
poročanje o napaki (E_ALL);

ali si oglejte napake v dnevniku napak. Na splošno tema o prikazovanju sporočil o napakah presega obseg tega članka, zato se prepričajte, da jih vsaj vidite. V tem razdelku si lahko preberete nekaj več podrobnosti o odpravljanju težav.

Če ste prepričani, da ni napak, a dani primer vseeno ne deluje, potem je možno, da PHP ne omogoča prenosa id-ja preko url-a, in piškotki iz nekega razloga ne delujejo.
Poglejte, kaj imate s piškotki.

Na splošno, če vaše seje "ne delujejo", najprej poskusite ročno prenesti identifikator seje, torej ustvarite povezavo in ji dodelite identifikator:

Ko to počnete, se prepričajte, da direktiva session.use_only_cookies ni omogočena, kar preprečuje, da bi PHP sprejel ID seje, če je bil posredovan prek URL-ja.

Če ta primer ne deluje, je težava bodisi v banalnem tipkarske napake(polovica "problemov" s sejami izvira iz napačno črkovanega imena spremenljivke) ali v prestari različici PHP: podpora za seje se je pojavila v različici 4.0 in matrika $ _SESSION- v 4.1 (Prej uporabljeno $ HTTP_SESSION_VARS).

Če deluje, je težava v piškotkih. Sledenje - kakšne piškotke strežnik postavi v brskalnik, ali jih brskalnik vrne. Iskanje je zelo uporabno pri ogledu izmenjave glave HTTP med brskalnikom in strežnikom.

Razlaga delovanja piškotkov je zunaj obsega tega in toliko besedila, vendar se vsaj prepričajte, da strežnik pošlje piškotke z identifikatorjem, brskalnik pa se vrne. In medtem ko identifikatorji sovpadajo med seboj =)
Nastavitev piškotkov bi morala izgledati tako

Set-Cookie: PHPSESSID = prlgdfbvlg5fbsbshch6hj0cq6;

Set-Cookie: PHPSESSID = prlgdfbvlg5fbsbshch6hj0cq6; pot = /

(če zahtevate skript, ki ni iz korenskega imenika)
Odgovor strežnika bi moral izgledati tako

Piškotek: PHPSESSID = prlgdfbvlg5fbsbshch6hj0cq6

Piškotek: PHPSESSID = prlgdfbvlg5fbsbshch6hj0cq6; b = b

če brskalnik vrne piškotke, ki niso ID seje.

Če primer od tukaj deluje, vaša lastna koda pa ne, potem težava očitno ni v sejah, ampak v algoritmu. Poiščite, kje ste izgubili spremenljivko, prenesite primer od tu korak za korakom, razhroščite svoj skript.

Zato morate identifikator dodati ročno, na primer tako:

header ("Lokacija: /script.php?". ime_seje (). "=". id_sesije ());

Prav tako je zelo redka in popolnoma nerazumljiva, od kod prihaja težava, težava v tem, da ima nastavitev session.save_handler drugo vrednost kot datoteke. Če temu ni tako, popravite.

• Mehanizem seje poleg piškotkov pošilja tudi glave, ki prepovedujejo predpomnjenje strani (isti omejevalnik predpomnilnika). Za html je to pravilno in potrebno. Ko pa poskušate poslati datoteko s skriptom, ki preverja avtorizacijo, Internet Explorer zavrne prenos. Prav zaradi tega naslova. Pokliči
  session_cache_limiter ("zasebno");
  morate rešiti težavo pred začetkom seje.
• Nenavadno, vendar v nizu $ _SESSION ne morete uporabljati številčnih indeksov - $ _SESSION [1], $ _SESSION ["10"]- seje ne bodo delovale.
• Nekje med 4.2 in 5.0 ni bilo mogoče nastaviti session.use_trans_sid z ini_set ()... Od 5.0 je že spet možno.
• Pred različico 4.3.3 piškotki PHP je pošiljal piškotke le, če zahteva ni vsebovala identifikatorja na začetku seje. Zdaj se piškotki pošiljajo ob vsakem klicu session_start
  
  

  Če imate še kakšno vprašanje ali vam kaj ni jasno - dobrodošli pri nas

Od vsega začetka so vsi s pokom sprejeli PHP, a takoj, ko so začeli ustvarjati dovolj velike projekte v tem jeziku, so se razvijalci soočili z novo težavo – v PHP-ju ni bilo koncepta globalnih spremenljivk! To pomeni, da je bil skript izveden, ustvarjena stran je poslana odjemalcu in vsi viri, ki jih uporablja ta skript, so bili uničeni. Za ponazoritev recimo, da sta na istem mestu dve strani, index.php in dothings.php. Viri za te strani so videti takole:

Če izvedete ta dva skripta, bomo na prvi strani videli napis "Dodeljen sem bil index.php", druga stran pa bo prazna.

Razvijalci spletnih mest so brez zadržkov začeli uporabljati piškotke za shranjevanje globalnih spremenljivk na strani odjemalca. Postopek je izgledal nekako takole: uporabnik pride na domačo stran spletnega mesta, izvede nekaj dejanj in vsi podatki v zvezi s tem uporabnikom, ki bodo morda potrebni na drugih straneh spletnega mesta, bodo shranjeni v njegovem brskalniku v obliki piškotka. Ta metoda ima precej resne pomanjkljivosti, zaradi katerih so mnogi razvijalci naenkrat obrnili hrbet PHP. Uporabnika moramo na primer pooblastiti, da mu omogoči dostop do omejenih (ali samo njegovih) delov spletnega mesta. Uporabniku boste morali poslati piškotek, ki bo služil kot njegov kasnejši identifikator na spletnem mestu. Ta pristop postane zelo okoren in neprijeten, takoj ko začne spletno mesto zbirati vse več informacij o vedenju uporabnikov, saj je treba vse informacije, poslane uporabniku, po možnosti kodirati, da jih ni mogoče ponarediti. V zadnjem času je bilo s ponarejanjem piškotka mogoče "zlagati" več kot en klepet, včasih pa celo priti na pošto nekoga drugega. Poleg tega na svetu še vedno obstajajo čudni ljudje, katerih brskalnik ne podpira piškotkov.

Ne bom se spuščal v tehnološka vprašanja strukture mehanizma sej, ampak bom le opisal, kako pravilno delati s sejami v PHP.

Kako delati s sejami?

Če preizkusite primere iz članka (ali svoje skripte) na katerem koli komercialnem gostovanju, pri delu s sejami ne bi smelo biti težav. Če strežnik nastavite sami (naj bo to pravi strežnik ali emulator), se lahko pojavijo napake z naslednjo vsebino:

"Opozorilo: odprtje (/ var / state / php / sess_6f71d1dbb52fa88481e752af7f384db0, O_RDWR) ni uspelo: ni takšne datoteke ali imenika (2)".

To samo pomeni, da je vaš PHP napačno konfiguriran. To težavo lahko rešite tako, da napišete pravilno pot (do obstoječega imenika), da shranite seje v datoteko php.ini in znova zaženete strežnik.

Vsak skript, ki bo uporabljal spremenljivke (podatke) iz sej, mora vsebovati naslednjo vrstico:

Začetek_seje ();

Ta ukaz pove strežniku, da dana stran potrebuje vse spremenljivke, ki so povezane z danim uporabnikom (brskalnikom). Strežnik vzame te spremenljivke iz datoteke in jih da na voljo. Zelo pomembno je, da odprete sejo, preden se kateri koli podatki pošljejo uporabniku; v praksi to pomeni, da je priporočljivo poklicati funkcijo session_start () na samem začetku strani, na primer:

Začetek_seje (); ?> ... Če želite nastaviti imenik, v katerem bodo shranjene datoteke seje, uporabite funkcijo session_save_path (): session_save_path ($ _ SERVER ["DOCUMENT_ROOT"]. "/ Session"); začetek_seje ();

Ko se seja začne, lahko nastavite globalne spremenljivke. Ko dodelite vrednost kateremu koli polju v matriki $ _SESSION, se spremenljivka z istim imenom samodejno registrira kot spremenljivka seje. Ta niz je na voljo na vseh straneh, ki uporabljajo sejo. Na primer, analizirajmo program:

Ko se te datoteke izvajajo zaporedno, bo prvi skript "index.php" ustvaril naslednji rezultat:

In drugi "dothings.php" je ta:

Spremenljivka $ a je zdaj na voljo na vseh straneh tega spletnega mesta, ki so začele seje.

Druge uporabne funkcije in tehnike za delo s sejami:

• nenastavljen ($ _ SESSION ["a"])- seja "pozabi" vrednost spremenljivke, ki jo je nastavila seja;
• session_destroy ()- seja je uničena (če je uporabnik na primer zapustil sistem s pritiskom na gumb "izhod");
• session_set_cookie_params (int življenjska doba [, pot niza [, domena niza]])- s to funkcijo lahko nastavite, kako dolgo bo seja "živela" z nastavitvijo unix_timestamp, ki določa čas, ko seja "umre". Privzeto seja "živi", dokler odjemalec ne zapre okna brskalnika.
• session_write_close ()- snemanje spremenljivk seje in zapiranje. To je potrebno za odpiranje spletnega mesta v novem oknu, če stran izvaja dolgotrajno obdelavo in je blokirala datoteko seje za vaš brskalnik.

Primeri

Zdaj pa se obrnimo na praktično uporabo mehanizma seje. Tukaj si bomo ogledali nekaj dokaj preprostih, a uporabnih primerov.

Pooblastilo uporabnika

Na konferencah o spletnem programiranju se nenehno postavljajo vprašanja o avtorizaciji uporabnikov s pomočjo PHP sej. Mehanizem za avtorizacijo uporabnikov v sistemu z uporabo sej je z varnostnega vidika precej dober (glej razdelek).

Naš primer bo sestavljen iz treh datotek: index.php, authorize.php in secretplace.php. Datoteka index.php vsebuje obrazec, kamor bo uporabnik vnesel svoje uporabniško ime in geslo. Ta obrazec bo posredoval podatke v datoteko authorize.php, ki bo v primeru uspešne avtorizacije uporabniku omogočila dostop do datoteke secretplace.php in sicer prikazala sporočilo o napaki.

Primeri: index.php

Varnost

Tako lahko identifikator prenesemo z ene strani (PHP skript) na drugo (do naslednjega klica z naše strani), kar pomeni, da lahko ločimo vse obiskovalce strani. Ker je identifikator seje zelo veliko število (128 bitov), ​​praktično ni možnosti, da bo šlo za brutalno silo. Zato ima napadalec naslednje možnosti:

• na uporabnikovem računalniku je trojanec, ki krade številke sej;
• Napadalec ujame promet med uporabnikovim računalnikom in strežnikom. Seveda obstaja varen (šifriran) protokol SSL, vendar ga ne uporabljajo vsi;
• sosed je prišel do računalnika našega uporabnika in ukradel številko seje.

Takšne situacije, ki temeljijo na dejstvu, da nekdo nekomu nekaj ukrade, na splošno niso v pristojnosti programerja. Za to bi morali poskrbeti skrbniki in uporabniki sami.

Vendar pa je PHP pogosto lahko zaveden. Oglejmo si možne točke vdora v programu za avtorizacijo uporabnikov:

• Datoteka authorize.php - poskus uganiti geslo z uporabo skripta tretje osebe;
• Datoteka secretplace.php je poskus prevare programa z vnosom vrednosti spremenljivke $logged_user v naslovno vrstico brskalnika, na primer:
  "http://www.yoursite.ru/secretplace.php? logged_user = heker"

Tako sta v našem programu dobro vidni dve "luknji", ena je majhna in ni posebej opazna, druga pa preprosto ogromna, skozi katero večina hekerjev pleza tja, kjer jim ni treba.

Ne bomo napisali na tone kode za blokiranje naslova IP ipd., ampak samo preverimo, od kod prihaja zahteva, oziroma s katere strani je prišla zahteva, če je katera stran z našega spletnega mesta, potem je vse v redu, ampak v vseh drugih primerih ga ne bomo spustili. Popravimo datoteko authorize.php: