PHP.SU

Программирование на PHP, MySQL и другие веб-технологии

PHP.SU Портал

Главная

Помощь

Поиск

Поиск Яндекс Вакансии

Пользователи

Здравствуйте, Гость

( Вход · Регистрация · Правила форума )

Забыли пароль?

Авторизация на php

Форумы портала PHP.SU » PHP » Программирование на PHP » Вопросы новичков (Модераторы: OrmaJever, Саныч, Строитель)

Страниц (1): [1]

Без описания

Поиск в теме | Версия для печати

improbable	Отправлено: 17 Марта, 2012 - 17:39:08
Частый гость Покинул форум Сообщений всего: 139 Дата рег-ции: Февр. 2012 Помог: 0 раз(а)	Я еще недостаточно опытен, чтобы оценить все плюсы и минусы данного метода. Я не знаю, существует ли он вообще, просто пришло на ум сделать, - сделал. PHP: скопировать код в буфер обмена <?PHP $ip = $_SERVER['REMOTE_ADDR']; include 'database.php'; $status = '1'; $query = 'SELECT * FROM `sessions` WHERE `ip` = "'.$ip.'" AND `status` = "'.$status.'"'; $sql = mysql_query($query); if(!mysql_num_rows($sql)){ echo "you are not logged"; } else { echo "you are logged"; } ?> При авторизации через специальную форму, в таблицу `sessions` заносятся данные об IP адресе пользователя, дате входа, имени пользователя. При следующем входе на страницу, для входа на которую нужна авторизация, нас пропускает, так как IP с тех пор не изменился. Каждый IP соответствует конкретному пользователю, так же, при входе, будет обнуляться статус всех сессий для всех пользователей с данным IP. При выходе то же самое. Какие плюсы, минусы? P.S. Я знаю, что IP можно подделать, но ведь для этого надо его знать...

tarweb	Отправлено: 17 Марта, 2012 - 18:16:54
Новичок Покинул форум Сообщений всего: 19 Дата рег-ции: Март 2012 Помог: 0 раз(а)	Прикольно ! Например я зарегистрировался с домашнего компа а потом зашел, например с работы - и что?

improbable	Отправлено: 17 Марта, 2012 - 18:20:16
Частый гость Покинул форум Сообщений всего: 139 Дата рег-ции: Февр. 2012 Помог: 0 раз(а)	tarweb пишет: Прикольно ! Например я зарегистрировался с домашнего компа а потом зашел, например с работы - и что? Не имеет значения место регистрации. При авторизации в БД заносятся данные о текущем IP адресе и имени пользователя (имя пользователя вводится при авторизации). После этого авторизация не требуется, пока IP не поменялся. Если заходите с работы - ваша домашняя сессия сбрасывается, создается новая, с рабочим IP адресом. (Отредактировано автором: 17 Марта, 2012 - 18:21:38)

tarweb	Отправлено: 17 Марта, 2012 - 18:52:37
Новичок Покинул форум Сообщений всего: 19 Дата рег-ции: Март 2012 Помог: 0 раз(а)	Если IP дополнительная защита - то через прокси непонятно.

improbable	Отправлено: 17 Марта, 2012 - 18:54:49
Частый гость Покинул форум Сообщений всего: 139 Дата рег-ции: Февр. 2012 Помог: 0 раз(а)	tarweb пишет: Если IP дополнительная защита - то через прокси непонятно. Непонятно то, что ты написал)) О какой защите идет речь? Я просто предложил альтернативу cookies, которые крадут всегда. Хочу у опытных узнать уязвимости этого метода. (Добавление) Если бы вы хоть чуть-чуть шарили в php, то по коду всё бы поняли

tarweb	Отправлено: 17 Марта, 2012 - 19:01:08
Новичок Покинул форум Сообщений всего: 19 Дата рег-ции: Март 2012 Помог: 0 раз(а)	По Вашему коду(недописаному) видно, что Вы проверяете количество пользователей с одним IP

improbable	Отправлено: 17 Марта, 2012 - 19:06:21
Частый гость Покинул форум Сообщений всего: 139 Дата рег-ции: Февр. 2012 Помог: 0 раз(а)	Нет, проверяются сессии со статусом 1, где IP равен IP машины. Если таковая строчка найдена в БД - пользователя пускает, дезактивируя (присваивая статус 0) все остальные сессии данного IP и пользователя. При авторизации в таблицу `sessions` добавляется строка, в которую заносятся session_id, username, IP, дата входа и статус сессии, который по умолчанию равен 1 (включен). При авторизации с другой сети, скрипт выключит все сессии для конкретного (того, на который заходят) username. Т.е. активная сессия может быть только одна для пользователя и IP адреса одновременно. Теперь понятно, или сделать пример?

Okula	Отправлено: 17 Марта, 2012 - 19:08:09
Участник Покинул форум Сообщений всего: 1389 Дата рег-ции: Окт. 2010 Помог: 42 раз(а)	improbable пишет: Если бы вы хоть чуть-чуть шарили в php, то по коду всё бы поняли По куску кода приведённому тобой понятно только то что ты делаешь выборку из базы по IP адресу. К тому же не практично хранить IP адрес в базе в таком виде котором он отдаётся браузером. Есть специальные функции long2ip() и ip2long() Данный метод не является практичным, т.к. авторизация будет ненадёжна (это касается мобильных устройств, восновном браузеров Opera Mini, которые используют прокси сервера, которые могут менятся в течении 1 сеанса несколько раз). Уж лучше писать в куки или сессии и исключить возможность утечки информации с вашего сайта (читайте статьи по безопасности, в частности раздел о кроссайтовом скриптинге - XSS).

improbable	Отправлено: 17 Марта, 2012 - 19:10:24
Частый гость Покинул форум Сообщений всего: 139 Дата рег-ции: Февр. 2012 Помог: 0 раз(а)	Я, в-принципе, и не планирую использовать этот способ для мобильных устройств..

Поиск в теме | Версия для печати

Страниц (1): [1]

Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)

« Вопросы новичков »

Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.