เซสชั่น คำอธิบายโดยละเอียดของการทำงานและคำอธิบายของกลไก การรักษาความปลอดภัย ID เซสชันใน PHP องค์กร inurl สมุดเยี่ยมชม php phpsessid

เราตรวจสอบว่าเรามีตัวแปรตัวนับในเซสชันหรือไม่ ถ้าไม่มี ให้สร้างด้วยค่า 0 แล้วส่งออกค่าของตัวแปรนั้นและเพิ่มขึ้นหนึ่งค่า ค่าที่เพิ่มขึ้นจะถูกเขียนไปยังเซสชัน และครั้งต่อไปที่มีการเรียกสคริปต์ ตัวแปรจะมีค่าเป็น 1 และอื่นๆ ทุกอย่างง่ายมาก

เพื่อให้สามารถเข้าถึงตัวแปรเซสชันบนหน้าใด ๆ ของไซต์ คุณต้องเขียนบรรทัดเดียวเท่านั้น (!) ที่จุดเริ่มต้นของแต่ละไฟล์ซึ่งเราต้องการเซสชัน:

session_start ();

session_start ();
ถ้า ($ _SESSION ["ได้รับอนุญาต"]<> 1 ) {
ส่วนหัว ("ตำแหน่ง: /auth.php");
ทางออก;
}

การลบตัวแปรออกจากเซสชัน หากคุณมี register_globals = off ก็เขียน

ยกเลิกการตั้งค่า ($ _ SESSION ["var"]);

ถ้าไม่เช่นนั้น ใกล้เคียงด้วยคุณต้องเขียน:

session_unregister ("var");

สิ่งสำคัญคือต้องเข้าใจว่าควรใช้เซสชันใดและไม่ควรใช้เซสชันใด

อันดับแรก จำไว้ว่าเซสชั่นสามารถใช้ได้เมื่อผู้ใช้ต้องการเท่านั้น ไม่ให้ขัดขวางเขา ท้ายที่สุด เขาสามารถกำจัดตัวระบุเมื่อใดก็ได้!
ตัวอย่างเช่น เมื่อตรวจสอบว่าบุคคลกรอกแบบฟอร์มและไม่ใช่สคริปต์ ผู้ใช้เองก็สนใจในเซสชันที่ทำงานอยู่ มิฉะนั้น เขาจะไม่สามารถส่งแบบฟอร์มได้! แต่สำหรับการจำกัดจำนวนคำขอสคริปต์ เซสชันไม่เหมาะสมอีกต่อไป - สคริปต์ที่เป็นอันตรายจะไม่ส่งคืนตัวระบุ

ประการที่สอง. สิ่งสำคัญคือต้องเข้าใจอย่างชัดเจนว่าเซสชันคือเซสชันของการทำงานกับไซต์ตามที่บุคคลเข้าใจ มาทำงานปิดเบราว์เซอร์ - เซสชันสิ้นสุดลง เหมือนตอนดูหนัง หากคุณต้องการดูอีก - ซื้อตั๋วใหม่ เริ่มเซสชันใหม่ นอกจากนี้ยังมีคำอธิบายทางเทคนิคสำหรับเรื่องนี้ รับประกันได้ว่ากลไกเซสชันจะทำงานจนกว่าเบราว์เซอร์จะปิดเท่านั้น ท้ายที่สุดแล้ว คุกกี้อาจไม่ทำงานสำหรับลูกค้า และแน่นอนว่าในกรณีนี้ ลิงก์ทั้งหมดที่เสริมด้วยตัวระบุจะหายไปเมื่อปิด

อย่างไรก็ตาม เซสชันอาจหายไปโดยไม่ต้องปิดเบราว์เซอร์ เนื่องจากข้อจำกัดที่กล่าวถึงในบทความนี้ กลไกจัดการเซสชันไม่สามารถตรวจพบเมื่อผู้ใช้ปิดเบราว์เซอร์ สำหรับสิ่งนี้ ระยะหมดเวลาถูกใช้ - เวลาที่กำหนดไว้ หลังจากนั้นเราถือว่าผู้ใช้ออกจากไซต์ไปแล้ว โดยค่าเริ่มต้น พารามิเตอร์นี้คือ 24 นาที

หากคุณต้องการบันทึกข้อมูลผู้ใช้เป็นเวลานาน ให้ใช้คุกกี้และฐานข้อมูลบนเซิร์ฟเวอร์หากจำเป็น โดยเฉพาะอย่างยิ่ง นี่คือวิธีการทำงานของระบบการอนุญาตที่เป็นที่นิยมทั้งหมด:

เมื่อระบุผู้ใช้แล้ว เซสชันจะเริ่มต้นขึ้นและสัญญาณการอนุญาตจะถูกส่งไปในนั้น
- หากจำเป็นต้อง "จำ" ผู้ใช้ คุกกี้จะถูกตั้งค่าเป็นผู้ใช้ซึ่งระบุตัวเขา
- ในครั้งต่อไปที่ผู้ใช้เข้าสู่ไซต์ เพื่อที่จะเข้าสู่ระบบ เขาต้องป้อนรหัสผ่าน มิฉะนั้นระบบจะรับรู้โดยคุกกี้ที่ตั้งไว้ก่อนหน้านี้ และเซสชันจะเริ่มต้นขึ้น เซสชันใหม่ แทนที่จะทำต่อในเซสชันเก่า

ประการที่สาม มันไม่คุ้มที่จะเริ่มต้นเซสชันตามอำเภอใจสำหรับทุกคนที่เข้าสู่ไซต์ สิ่งนี้จะสร้างภาระที่ไม่จำเป็นอย่างสมบูรณ์ อย่าใช้เซสชั่นสำหรับมโนสาเร่ - ตัวอย่างเช่นในเคาน์เตอร์ เซสชั่นการโทร spilogue แน่นอนนับตามสถิติการโทรและไม่ใช้กลไกเซสชันที่คล้ายกับ PHP

นอกจากนี้ ลองใช้เครื่องมือค้นหาที่จัดทำดัชนีไซต์ของคุณ หากโรบ็อตค้นหาไม่รองรับคุกกี้ ตามค่าเริ่มต้นแล้ว PHPSESSID จะส่ง PHPSESSID ไปยังลิงก์ ซึ่งอาจไม่เป็นที่พอใจสำหรับเสิร์ชเอ็นจิ้น ซึ่งตามข่าวลือ ไม่ชอบลิงก์ไดนามิกอยู่แล้ว แต่ที่นี่ โดยทั่วไป กับการโทรแต่ละครั้ง - ที่อยู่ใหม่!

หากเซสชันใช้เพื่อจำกัดการเข้าถึงส่วนปิดของไซต์ ทุกอย่างเป็นเพียงเครื่องมือค้นหาและไม่ควรจัดทำดัชนี หากคุณต้องแสดงหน้าเดียวกันแก่ผู้ใช้ทั้งที่ได้รับอนุญาตและไม่ได้รับอนุญาต เคล็ดลับดังกล่าวจะช่วยได้ - เพื่อเริ่มเซสชันเฉพาะกับผู้ที่ป้อนรหัสผ่านหรือผู้ที่เริ่มเซสชันแล้ว

เมื่อต้องการทำเช่นนี้ ที่จุดเริ่มต้นของแต่ละหน้า แทนที่จะเป็นเพียง session_start ()พวกเราเขียน:

if (isset ($ _ REQUEST [session_name ()])) session_start ();

ดังนั้นเราจึงเริ่มเซสชันเฉพาะผู้ที่ส่งตัวระบุเท่านั้น
ดังนั้นจึงจำเป็นต้องส่งให้ผู้ใช้เป็นครั้งแรก - ในขณะที่ได้รับอนุญาต

ถ้าชื่อและโรงจอดรถถูกต้อง - เขียน session_start () !

ข้อผิดพลาดที่พบบ่อยที่สุดที่ PHP ให้ไว้เมื่อพยายามทำงานกับเซสชันคือ:
ทั้งสอง,

คำเตือน: ไม่สามารถส่งคุกกี้ของเซสชัน - ส่งส่วนหัวแล้ว
คำเตือน: ไม่สามารถส่งตัวจำกัดแคชเซสชัน - ส่งส่วนหัวแล้ว

เกิดจากสาเหตุเดียวกัน การแก้ปัญหาได้อธิบายไว้ในข้อเท็จจริงนี้

คำเตือน: เปิด (/ tmp \ sess_SID, O_RDWR) ล้มเหลว: ไม่มีไฟล์หรือไดเรกทอรีดังกล่าว (2) ใน full_script_path ในหมายเลขบรรทัด

ก่อนหน้านี้เธอดูเหมือน

คำเตือน: ไม่สามารถเขียนข้อมูลเซสชัน (ไฟล์) โปรดตรวจสอบว่าการตั้งค่าปัจจุบันของ session.save_path ถูกต้อง (/ tmp) ,

หากแปลจากภาษาอังกฤษ จะอธิบายปัญหาโดยละเอียด: ไม่มีเส้นทางที่ระบุใน php.ini ไปยังไดเร็กทอรีที่เขียนไฟล์เซสชัน ข้อผิดพลาดนี้เป็นวิธีที่ง่ายที่สุดในการแก้ไข เพียงเขียนไดเร็กทอรีที่มีอยู่และสามารถเขียนได้ เช่น

session.save_path = c: \ windows \ temp

และอย่าลืมรีสตาร์ท Apache หลังจากนั้น

ปรากฏว่า สติปัญญาของมนุษย์ไม่มีขีดจำกัด ดังนั้นฉันจึงต้องอธิบาย:
ข้อความแสดงข้อผิดพลาดที่สาม (ไม่พบไดเร็กทอรี) จะ UNAVAILABLE นำไปสู่สองข้อความแรก เนื่องจากข้อความแสดงข้อผิดพลาดจะส่งออกไปยังเบราว์เซอร์ และคุณไม่สามารถใช้ส่วนหัวหลังจากนั้นได้ ดังนั้นอย่ารีบเร่งที่จะหาข้อสรุปก่อนเวลาอันควร แต่ก่อนอื่นให้เขียนเส้นทางที่ถูกต้อง!

ปัญหาที่พบบ่อยที่สุดรองลงมาเมื่อต้องรับมือกับเซสชันคือปัญหาใหญ่ของ register_globals อย่าให้ตัวแปรสคริปต์ชื่อเดียวกับดัชนีของอาร์เรย์ $ _SESSION!

เมื่อ register_globals = on ค่าต่างๆ จะเขียนทับกันและคุณจะสับสน

หากไม่ได้ผล แต่ไม่มีแสดงข้อความใด ๆ ให้เพิ่มสองบรรทัดที่จุดเริ่มต้นของสคริปต์ที่รับผิดชอบในการแสดงข้อผิดพลาดทั้งหมดบนหน้าจอ - ค่อนข้างเป็นไปได้ว่ามีข้อผิดพลาด แต่คุณไม่เห็น พวกเขา.

ini_set ("display_errors", 1);
error_reporting (E_ALL);

หรือเห็นข้อผิดพลาดใน error_log โดยทั่วไป หัวข้อของการแสดงข้อความแสดงข้อผิดพลาดอยู่นอกเหนือขอบเขตของบทความนี้ ดังนั้น อย่างน้อยต้องแน่ใจว่าคุณสามารถมองเห็นข้อความเหล่านั้นได้ คุณสามารถอ่านรายละเอียดเพิ่มเติมเล็กน้อยเกี่ยวกับการแก้ไขปัญหาในส่วนนี้

หากคุณแน่ใจว่าไม่มีข้อผิดพลาด แต่ตัวอย่างที่ให้มาใช้งานไม่ได้ เป็นไปได้ว่า PHP ไม่ได้เปิดใช้งานการถ่ายโอน id ผ่าน url และคุกกี้ด้วยเหตุผลบางอย่างไม่ทำงาน.
ดูสิ่งที่คุณมีกับคุกกี้

โดยทั่วไป หากเซสชันของคุณ "ไม่ทำงาน" ก่อนอื่นให้ลองโอนตัวระบุเซสชันด้วยตนเอง นั่นคือสร้างลิงก์และกำหนดตัวระบุให้กับเซสชันนั้น:

เมื่อทำเช่นนี้ ตรวจสอบให้แน่ใจว่าไม่ได้เปิดใช้งานคำสั่ง session.use_only_cookies ซึ่งจะป้องกันไม่ให้ PHP ยอมรับ ID เซสชันหากส่งผ่าน URL

หากตัวอย่างนี้ใช้ไม่ได้ผล แสดงว่าปัญหาอยู่ใน banal ความผิดพลาด(ครึ่งหนึ่งของ "ปัญหา" ของเซสชันมาจากชื่อตัวแปรที่สะกดผิด) หรือใน PHP เวอร์ชันเก่าเกินไป: รองรับเซสชันปรากฏในเวอร์ชัน 4.0 และอาร์เรย์ $ _SESSION- ใน 4.1 (ก่อนหน้านี้ใช้ $ HTTP_SESSION_VARS).

หากใช้งานได้ แสดงว่าปัญหาอยู่ในคุกกี้ ติดตาม - คุกกี้ประเภทใดที่เซิร์ฟเวอร์ใส่ในเบราว์เซอร์ ไม่ว่าเบราว์เซอร์จะส่งคืนหรือไม่ การค้นหามีประโยชน์มากในขณะที่ดูการแลกเปลี่ยนส่วนหัว HTTP ระหว่างเบราว์เซอร์และเซิร์ฟเวอร์

การอธิบายวิธีการทำงานของคุกกี้นั้นอยู่นอกเหนือขอบเขตของสิ่งนี้และข้อความจำนวนมาก แต่อย่างน้อยตรวจสอบให้แน่ใจว่าเซิร์ฟเวอร์ส่งคุกกี้พร้อมตัวระบุและเบราว์เซอร์กลับมา และในขณะที่ตัวระบุตรงกัน =)
การตั้งค่าคุกกี้ควรมีลักษณะดังนี้

ชุดคุกกี้: PHPSESSID = prlgdfbvlg5fbsbshch6hj0cq6;

ชุดคุกกี้: PHPSESSID = prlgdfbvlg5fbsbshch6hj0cq6; เส้นทาง = /

(หากคุณกำลังขอสคริปต์ที่ไม่ได้มาจากไดเรกทอรีราก)
การตอบสนองของเซิร์ฟเวอร์ควรมีลักษณะดังนี้

คุกกี้: PHPSESSID = prlgdfbvlg5fbsbshch6hj0cq6

คุกกี้: PHPSESSID = prlgdfbvlg5fbsbshch6hj0cq6; ข = ข

หากเบราว์เซอร์ส่งคืนคุกกี้อื่นที่ไม่ใช่รหัสเซสชัน

หากตัวอย่างจากที่นี่ใช้งานได้ แต่รหัสของคุณใช้ไม่ได้ แสดงว่าปัญหาไม่ได้อยู่ที่เซสชัน แต่อยู่ในอัลกอริทึม ค้นหาตำแหน่งที่คุณสูญเสียตัวแปร โอนตัวอย่างจากที่นี่ทีละขั้นตอน ดีบักสคริปต์ของคุณ

ดังนั้น คุณต้องเพิ่มตัวระบุด้วยตนเอง เช่น:

ส่วนหัว ("ตำแหน่ง: /script.php?". session_name (). "=". session_id ());

นอกจากนี้ ปัญหาที่มาจากปัญหาที่พบได้น้อยมากและเข้าใจยากคือ การตั้งค่า session.save_handler มีค่าอื่นที่ไม่ใช่ไฟล์ หากไม่เป็นเช่นนั้นให้แก้ไข

• นอกจากคุกกี้แล้ว กลไกเซสชันยังส่งส่วนหัวที่ห้ามการแคชหน้า (ตัวจำกัดแคชเดียวกัน) สำหรับ html สิ่งนี้ถูกต้องและจำเป็น แต่เมื่อคุณพยายามส่งไฟล์ที่มีสคริปต์ที่ตรวจสอบการอนุญาต Internet Explorer ปฏิเสธที่จะดาวน์โหลด เป็นเพราะชื่อนี้ เรียก
  session_cache_limiter ("ส่วนตัว");
  ต้องแก้ปัญหาก่อนเริ่มเซสชัน
• ผิดปกติพอสมควร แต่ในอาร์เรย์ $ _SESSIONคุณไม่สามารถใช้ดัชนีตัวเลข - $ _SESSION [1], $ _SESSION ["10"]- เซสชันจะไม่ทำงาน
• ไม่สามารถตั้งค่า session.use_trans_sid ด้วย . ระหว่าง 4.2 ถึง 5.0 ได้ ini_set ()... เริ่มต้นจาก 5.0 ก็เป็นไปได้อีกครั้ง
• ก่อนหน้าเวอร์ชัน 4.3.3 คุกกี้ PHP ส่งคุกกี้เฉพาะเมื่อคำขอไม่มีตัวระบุเมื่อเริ่มต้นเซสชัน ตอนนี้คุกกี้จะถูกส่งไปทุกครั้งที่โทร session_start
  
  

  หากคุณมีคำถามเพิ่มเติมหรือบางอย่างไม่ชัดเจน - ยินดีต้อนรับสู่ .ของเรา

ตั้งแต่เริ่มต้น ทุกคนยอมรับ PHP อย่างไม่หยุดยั้ง แต่ทันทีที่พวกเขาเริ่มสร้างโครงการที่ใหญ่พอในภาษานี้ นักพัฒนาก็ประสบปัญหาใหม่ - ไม่มีแนวคิดของตัวแปรทั่วโลกใน PHP! นั่นคือ สคริปต์ถูกดำเนินการ ส่งหน้าที่สร้างขึ้นไปยังไคลเอนต์ และทรัพยากรทั้งหมดที่ใช้โดยสคริปต์นี้ถูกทำลาย เพื่อแสดงให้เห็น สมมติว่ามีสองหน้าในไซต์เดียวกันคือ index.php และ dothings.php แหล่งที่มาของหน้าเหล่านี้มีลักษณะดังนี้:

หากคุณเรียกใช้สคริปต์ทั้งสองนี้ ในหน้าแรก เราจะเห็นข้อความจารึกว่า "ฉันถูกกำหนดให้กับ index.php" และหน้าที่สองจะว่างเปล่า

นักพัฒนาเว็บไซต์เริ่มใช้คุกกี้เพื่อเก็บตัวแปรทั่วโลกโดยไม่ลังเลใจในฝั่งไคลเอ็นต์ กระบวนการมีลักษณะดังนี้: ผู้ใช้มาที่หน้าแรกของไซต์ ดำเนินการบางอย่าง และข้อมูลทั้งหมดที่เกี่ยวข้องกับผู้ใช้รายนี้ ซึ่งอาจจำเป็นในหน้าอื่นของไซต์ จะถูกเก็บไว้ในเบราว์เซอร์ของเขาในแบบฟอร์ม ของคุกกี้ วิธีนี้มีข้อเสียค่อนข้างมาก เนื่องจากนักพัฒนาหลายคนหันหลังให้ PHP ในคราวเดียว ตัวอย่างเช่น เราต้องอนุญาตให้ผู้ใช้อนุญาตให้เขาเข้าถึงส่วนที่ถูกจำกัด (หรือเฉพาะของเขาเอง) ของไซต์ คุณจะต้องส่งคุกกี้ให้กับผู้ใช้ ซึ่งจะทำหน้าที่เป็นตัวระบุภายหลังบนไซต์ วิธีการนี้จะยุ่งยากและไม่สะดวกทันทีที่ไซต์เริ่มรวบรวมข้อมูลเพิ่มเติมเกี่ยวกับพฤติกรรมของผู้ใช้ เนื่องจากข้อมูลทั้งหมดที่ส่งไปยังผู้ใช้ควรได้รับการเข้ารหัสเพื่อไม่ให้ปลอมแปลงได้ เมื่อเร็วๆ นี้ การปลอมแปลงคุกกี้ทำให้สามารถ "ซ้อน" แชทได้มากกว่าหนึ่งแชท และบางครั้งอาจเข้าถึงอีเมลของคนอื่นได้ นอกจากนี้ยังมีคนแปลกหน้าในโลกที่เบราว์เซอร์ไม่รองรับคุกกี้

ฉันจะไม่พูดถึงปัญหาทางเทคโนโลยีของโครงสร้างของกลไกเซสชัน แต่จะอธิบายเฉพาะวิธีการทำงานอย่างถูกต้องกับเซสชันใน PHP เท่านั้น

วิธีการทำงานกับเซสชัน?

หากคุณทดสอบตัวอย่างจากบทความ (หรือสคริปต์ของคุณ) บนโฮสติ้งเชิงพาณิชย์ใด ๆ ไม่ควรมีปัญหากับการทำงานกับเซสชัน หากคุณตั้งค่าเซิร์ฟเวอร์ของคุณเอง (ไม่ว่าจะเป็นเซิร์ฟเวอร์จริงหรืออีมูเลเตอร์) ข้อผิดพลาดเกี่ยวกับเนื้อหาต่อไปนี้อาจปรากฏขึ้น:

"คำเตือน: เปิด (/ var / state / php / sess_6f71d1dbb52fa88481e752af7f384db0, O_RDWR) ล้มเหลว: ไม่มีไฟล์หรือไดเรกทอรีดังกล่าว (2)"

หมายความว่า PHP ของคุณได้รับการกำหนดค่าไม่ถูกต้อง คุณสามารถแก้ปัญหานี้ได้โดยการเขียนเส้นทางที่ถูกต้อง (ไปยังไดเร็กทอรีที่มีอยู่) เพื่อบันทึกเซสชันในไฟล์ php.ini และรีสตาร์ทเซิร์ฟเวอร์

สคริปต์ใด ๆ ที่จะใช้ตัวแปร (ข้อมูล) จากเซสชันควรมีบรรทัดต่อไปนี้:

Session_start ();

คำสั่งนี้บอกเซิร์ฟเวอร์ว่าหน้าที่กำหนดต้องการตัวแปรทั้งหมดที่เกี่ยวข้องกับผู้ใช้ที่กำหนด (เบราว์เซอร์) เซิร์ฟเวอร์ใช้ตัวแปรเหล่านี้จากไฟล์และทำให้พร้อมใช้งาน เป็นสิ่งสำคัญมากที่จะต้องเปิดเซสชันก่อนที่จะส่งข้อมูลใดๆ ไปยังผู้ใช้ ในทางปฏิบัติ แนะนำให้เรียกใช้ฟังก์ชัน session_start () ที่จุดเริ่มต้นของหน้า เช่น

Session_start (); ?> ... ในการตั้งค่าไดเร็กทอรีที่จะบันทึกไฟล์เซสชั่น ให้ใช้ฟังก์ชัน session_save_path () : session_save_path ($ _ SERVER ["DOCUMENT_ROOT"]. "/ Session"); session_start ();

เมื่อเริ่มเซสชันแล้ว คุณสามารถตั้งค่าตัวแปรส่วนกลางได้ เมื่อกำหนดค่าให้กับฟิลด์ใดๆ ในอาร์เรย์ $ _SESSION ตัวแปรที่มีชื่อเดียวกันจะถูกลงทะเบียนโดยอัตโนมัติเป็นตัวแปรเซสชัน อาร์เรย์นี้มีอยู่ในทุกหน้าที่ใช้เซสชัน ตัวอย่างเช่น มาวิเคราะห์โปรแกรมกัน:

เมื่อไฟล์เหล่านี้ถูกรันตามลำดับ สคริปต์ "index.php" ตัวแรกจะให้ผลลัพธ์ดังต่อไปนี้:

และ "dothings.php" ตัวที่สองคือ:

ตัวแปร $ a มีอยู่ในทุกหน้าของไซต์นี้ที่เริ่มเซสชัน

ฟังก์ชันและเทคนิคที่เป็นประโยชน์อื่นๆ สำหรับการทำงานกับเซสชัน:

• ยกเลิกการตั้งค่า ($ _ SESSION ["a"])- เซสชัน "ลืม" ค่าของตัวแปรที่กำหนดโดยเซสชัน
• session_destroy ()- เซสชันถูกทำลาย (เช่น หากผู้ใช้ออกจากระบบโดยกดปุ่ม "ออก")
• session_set_cookie_params (อายุการใช้งาน int [, เส้นทางสตริง [, โดเมนสตริง]])- การใช้ฟังก์ชันนี้ คุณสามารถกำหนดระยะเวลาที่จะ "ใช้งาน" เซสชั่นได้โดยการตั้งค่า unix_timestamp ซึ่งจะกำหนดเวลาที่เซสชั่น "ตาย" โดยค่าเริ่มต้น เซสชันจะ "อยู่" จนกว่าไคลเอ็นต์จะปิดหน้าต่างเบราว์เซอร์
• session_write_close ()- บันทึกตัวแปรเซสชันและปิด นี่เป็นสิ่งจำเป็นในการเปิดไซต์ในหน้าต่างใหม่ หากหน้าเว็บดำเนินการเป็นเวลานานและได้บล็อกไฟล์เซสชันสำหรับเบราว์เซอร์ของคุณ

ตัวอย่างของ

ทีนี้มาดูการใช้งานจริงของกลไกเซสชันกัน เราจะมาดูตัวอย่างง่ายๆ แต่มีประโยชน์สองสามตัวอย่าง

การให้สิทธิ์ผู้ใช้

คำถามเกี่ยวกับการอนุญาตผู้ใช้โดยใช้เซสชัน PHP จะถูกถามอย่างต่อเนื่องในการประชุมการเขียนโปรแกรมเว็บ กลไกการอนุญาตผู้ใช้ในระบบโดยใช้เซสชันนั้นค่อนข้างดีจากมุมมองด้านความปลอดภัย (ดูหัวข้อ)

ตัวอย่างของเราจะประกอบด้วยสามไฟล์: index.php, authorize.php และ secretplace.php ไฟล์ index.php มีแบบฟอร์มที่ผู้ใช้จะใส่ชื่อผู้ใช้และรหัสผ่าน แบบฟอร์มนี้จะส่งข้อมูลไปยังไฟล์ authorize.php ซึ่งในกรณีที่อนุญาตสำเร็จ จะอนุญาตให้ผู้ใช้เข้าถึงไฟล์ secretplace.php และแสดงข้อความแสดงข้อผิดพลาด

ตัวอย่าง: index.php

ความปลอดภัย

ดังนั้น เราสามารถโอนตัวระบุจากหน้าหนึ่ง (สคริปต์ PHP) ไปยังหน้าอื่น (จนกว่าจะมีการโทรครั้งต่อไปจากไซต์ของเรา) ซึ่งหมายความว่าเราสามารถแยกแยะผู้เยี่ยมชมไซต์ทั้งหมดได้ เนื่องจากตัวระบุเซสชันเป็นตัวเลขที่มีขนาดใหญ่มาก (128 บิต) จึงไม่มีโอกาสเกิดขึ้นจริง ดังนั้นผู้โจมตีจึงเหลือตัวเลือกต่อไปนี้:

• มีโทรจันในคอมพิวเตอร์ของผู้ใช้ที่ขโมยหมายเลขเซสชัน
• ผู้โจมตีจับการรับส่งข้อมูลระหว่างคอมพิวเตอร์ของผู้ใช้กับเซิร์ฟเวอร์ แน่นอนว่ามีโปรโตคอล SSL ที่ปลอดภัย (เข้ารหัส) แต่ไม่ใช่ทุกคนที่ใช้มัน
• เพื่อนบ้านเข้ามาที่คอมพิวเตอร์ของผู้ใช้ของเราและขโมยหมายเลขเซสชัน

สถานการณ์ดังกล่าวโดยพิจารณาจากข้อเท็จจริงที่ว่ามีคนขโมยบางสิ่งบางอย่างจากใครบางคนโดยทั่วไปไม่อยู่ในความสามารถของโปรแกรมเมอร์ สิ่งนี้ควรได้รับการดูแลโดยผู้ดูแลระบบและผู้ใช้เอง

อย่างไรก็ตาม PHP มักจะถูกหลอก มาดูจุดแฮ็กที่เป็นไปได้ในโปรแกรมการอนุญาตผู้ใช้:

• ไฟล์ authorize.php - ความพยายามที่จะเดารหัสผ่านโดยใช้สคริปต์บุคคลที่สาม
• ไฟล์ secretplace.php เป็นความพยายามในการหลอกลวงโปรแกรมโดยป้อนค่าของตัวแปร $ log_user ลงในแถบที่อยู่ของเบราว์เซอร์ เช่น
  "http://www.yoursite.ru/secretplace.php? log_user = แฮ็กเกอร์"

ดังนั้น ในโปรแกรมของเรา "หลุม" สองช่องจึงมองเห็นได้ชัดเจน หลุมหนึ่งมีขนาดเล็กและไม่สังเกตเห็นได้ชัดเจนเป็นพิเศษ แต่ช่องที่สองนั้นใหญ่มาก โดยที่แฮ็กเกอร์ส่วนใหญ่จะปีนขึ้นไปโดยไม่จำเป็น

เราจะไม่เขียนโค้ดจำนวนมากเพื่อบล็อกที่อยู่ IP ฯลฯ แต่เพียงแค่ตรวจสอบว่าคำขอมาจากที่ใด หรือมากกว่าที่คำขอมาจากหน้า หากเป็นหน้าใด ๆ จากไซต์ของเรา ทุกอย่างก็เรียบร้อยดี แต่ ในกรณีอื่นๆ ทั้งหมด เราจะไม่ปล่อยให้มันเข้ามา มาแก้ไขไฟล์ authorize.php กันเถอะ: