אימות / התחברות לאתר קטן

WWW

@by6199 אמר באימות / התחברות לאתר קטן:

@www יש ל @clickone מנגנון אימות טלפוני

יודע, לא צריך עד כדי כך.

סתם כניסה עם משתמש וסיסמה.

dovid

אתה צריך לדעת לעשות טופס HTML מסוג פוסט עם שם וסיסמה, לקבל אותו בצד שרת ולבדוק את הסיסמה מול קובץ או מול ערך קובע בקוד, ואז להציב בשסן שהמשתמש מחובר.
בפעולה של העדכון אתה גם בודק לפני הפעולה בשסן שיש שם משתמש מחובר.

WWW

@dovid אמר באימות / התחברות לאתר קטן:

אתה צריך לדעת לעשות טופס HTML מסוג פוסט עם שם וסיסמה, לקבל אותו בצד שרת ולבדוק את הסיסמה מול קובץ או מול ערך קובע בקוד,

עד כאן, אני יודע לעשות.
מכאן, לא בדיוק...

ואז להציב בשסן שהמשתמש מחובר.
בפעולה של העדכון אתה גם בודק לפני הפעולה בשסן שיש שם משתמש מחובר.

מה זה ה'שסן' הזה?

תודה!

master

@www
כוונתו לסשן = session
תוכל לקרוא על זה כאן בעברית
כמובן שאפשר להשתמש גם בקוקיס
דהיינו שאם שם משתמש וסיסמה נכונים אתה יוצר קוקיס שתקף לזמן מסוים שאתה רוצה שישארו מחוברים
ובנפרד אתה שם בדיקה על הדף שיש קוקיס מחובר אם לא זה מפנה לדף הlogin
הדגמה פשוטה
בדף login.php תציב את הקוד הזה

<?php
    if (isset($_POST['password']) && $_POST['password'] == 'MYPASS') {
        setcookie("password", 'MYPASS', strtotime('+30 days'));
        header('Location: index.php');
        exit;
    }
?>

ובכל דף אחר תציב את זה

<?php
    if (!isset($_COOKIE['password']) || $_COOKIE['password'] !== 'MYPASS') {
        header('Location: login.php');
        exit;
    }
?>

אציין שהצורה שכתבתי פה לא מאובטחת מספיק זה רק בשביל להסביר את השיטה בצורה פשוטה

WWW

@master אמר באימות / התחברות לאתר קטן:

אציין שהצורה שכתבתי פה לא מאובטחת מספיק זה רק בשביל להסביר את השיטה בצורה פשוטה

מה חסר פה עדיין עקרונית, מבחינת אבטחה?

master

@www
יש עוד הרבה מה להוסיף
לדוגמא שהקוקיס עצמו מכיל את הסיסמה
אבל אם זה כמו שכתבת בכותרת "אתר קטן" והמידע בתוכו לא סודי מאד זה בסדר

dovid

@master שסן זה פיצ'ר של PHP שבפועל משתמש עם קוקיס.
כמובן שהרבה יותר קל להשתמש בשסן וגם יותר בטוח מלממש את זה לבד,
אז היית מדגים לו על שסן (אני לצערי לא יודע).

WWW

@dovid אמר באימות / התחברות לאתר קטן:

(אני לצערי לא יודע).

?

WWW

@dovid אחפש מידע על סשן.

dovid

@www אמר באימות / התחברות לאתר קטן:

@dovid אמר באימות / התחברות לאתר קטן:

(אני לצערי לא יודע).

?

אני בקושי יודע לכתוב שורה בPHP.
גם המעט שידעתי שכחתי.
אתה אמור לכתוב קוד מאוד דומה לשל master רק קצר ופשוט יותר.

WWW

@master אמר באימות / התחברות לאתר קטן:

לדוגמא שהקוקיס עצמו מכיל את הסיסמה

כן, רק עכשיו אני תופס...

dovid

הנה ערכתי את הודעתו של @master (ישר כח!)

<?php
    if ($_POST['password'] == 'MYPASS') {
        $_SESSION['user'] = "שמעון";
        header('Location: index.php');
        exit;
    }
?>

ובכל דף אחר תציב את זה

<?php
    if (!isset($_SESSION['user'])) {
        header('Location: login.php');
        exit;
    }
?>

clickone

@dovid אמר באימות / התחברות לאתר קטן:

שסן זה פיצ'ר של PHP שבפועל משתמש עם קוקיס.

1. זה פיצר כללי. שממומש גם בPHP
2. איך אומרים? סשן או שסן? אני רואה שאתה מקפיד על 'שסן' משום מה אני זוכר שאומרים את זה 'סשן'
   כאן גם אני רואה שבעברית אומרים סשן

WWW

@dovid אמר באימות / התחברות לאתר קטן:

ובכל דף אחר תציב את זה

<?php
    if (!isset($_SESSION['user'])) {
        header('Location: login.php');
        exit;
    }
?>

מן הסתם שכחת:

|| $_SESSION['user'] !== 'שמעון'

dovid

@www אמר באימות / התחברות לאתר קטן:

@dovid אמר באימות / התחברות לאתר קטן:

ובכל דף אחר תציב את זה

<?php
    if (!isset($_SESSION['user'])) {
        header('Location: login.php');
        exit;
    }
?>

מן הסתם שכחת:

|| $_SESSION['user'] !== 'MYPASS'

לא, זה מיותר.

WWW

@dovid אמר באימות / התחברות לאתר קטן:

לא, זה מיותר.

הסבר?

dovid

@www אמר באימות / התחברות לאתר קטן:

@dovid אמר באימות / התחברות לאתר קטן:

לא, זה מיותר.

הסבר?

תסביר למה אתה חושב שזה לא, או יותר נכון תקרא על סשן.

WWW

@dovid אמר באימות / התחברות לאתר קטן:

הנה ערכתי את הודעתו של @master (ישר כח!)
<?php
if ($_POST['password'] == 'MYPASS') {
$_SESSION['user'] = "שמעון";
header('Location: index.php');
exit;
}
?>

לא צריך session_start(); בתחילת הקוד?

dovid

@clickone דיברו על PHP.
ואכן הייתה לי טעות דיסלקטית קבועה, תודה.
המושג סשן זה כמו כפתור, זה לא טכנולוגיה מסויימת אלא תיאור של התנהגות.
יש לזה מימוש בכל שפה שמיועדת לכתוב דפי אינטרנט.

dovid

@www אמר באימות / התחברות לאתר קטן:

לא צריך session_start(); בתחילת הקוד?

שאלה טובה, מסברא נראה לי שלא, תבדוק ותחכים.