אימות / התחברות לאתר קטן

WWW

בהמשך לאשכול http://tchumim.com/topic/2907/מחפש-ספרייה-ליצירת-טבלת-html-מעוצבת,

כעת אני צריך לסדר אימות - 'כניסה' לאתר.

הבעיה היא: שאמנם כרגע, הנתונים נטענים יחד עם הדף באוביקט בJS,
כך שבעצם אני יכול לתת שם משתמש וסיסמה לדף, וזהו.

אך אני רוצה כן לשלב איכשהו אפשרות עדכון והוספת נתונים.
(אולי ע"י לחצן בתחתית הדף ומילוי טופס או משהו יותר נורמלי עם JS).
וכמובן שאז אני אצטרך לעדכן את הטבלה עם AJAX, ואז אני אצטרך אימות יותר מחמיר עם טוקן וקוקיז וכו'....
כמו"כ בהמשך אני ארצה לסנן את הנתונים לפי משתמשים.

וכמובן שאני מחפש משהו קל, סה"כ מדובר בדף בודד...

אשמח לכל עזרה בענין,
תודה!

by6199

@www יש ל @clickone מנגנון אימות טלפוני

WWW

@by6199 אמר באימות / התחברות לאתר קטן:

@www יש ל @clickone מנגנון אימות טלפוני

יודע, לא צריך עד כדי כך.

סתם כניסה עם משתמש וסיסמה.

dovid

אתה צריך לדעת לעשות טופס HTML מסוג פוסט עם שם וסיסמה, לקבל אותו בצד שרת ולבדוק את הסיסמה מול קובץ או מול ערך קובע בקוד, ואז להציב בשסן שהמשתמש מחובר.
בפעולה של העדכון אתה גם בודק לפני הפעולה בשסן שיש שם משתמש מחובר.

WWW

@dovid אמר באימות / התחברות לאתר קטן:

אתה צריך לדעת לעשות טופס HTML מסוג פוסט עם שם וסיסמה, לקבל אותו בצד שרת ולבדוק את הסיסמה מול קובץ או מול ערך קובע בקוד,

עד כאן, אני יודע לעשות.
מכאן, לא בדיוק...

ואז להציב בשסן שהמשתמש מחובר.
בפעולה של העדכון אתה גם בודק לפני הפעולה בשסן שיש שם משתמש מחובר.

מה זה ה'שסן' הזה?

תודה!

master

@www
כוונתו לסשן = session
תוכל לקרוא על זה כאן בעברית
כמובן שאפשר להשתמש גם בקוקיס
דהיינו שאם שם משתמש וסיסמה נכונים אתה יוצר קוקיס שתקף לזמן מסוים שאתה רוצה שישארו מחוברים
ובנפרד אתה שם בדיקה על הדף שיש קוקיס מחובר אם לא זה מפנה לדף הlogin
הדגמה פשוטה
בדף login.php תציב את הקוד הזה

<?php
    if (isset($_POST['password']) && $_POST['password'] == 'MYPASS') {
        setcookie("password", 'MYPASS', strtotime('+30 days'));
        header('Location: index.php');
        exit;
    }
?>

ובכל דף אחר תציב את זה

<?php
    if (!isset($_COOKIE['password']) || $_COOKIE['password'] !== 'MYPASS') {
        header('Location: login.php');
        exit;
    }
?>

אציין שהצורה שכתבתי פה לא מאובטחת מספיק זה רק בשביל להסביר את השיטה בצורה פשוטה

WWW

@master אמר באימות / התחברות לאתר קטן:

אציין שהצורה שכתבתי פה לא מאובטחת מספיק זה רק בשביל להסביר את השיטה בצורה פשוטה

מה חסר פה עדיין עקרונית, מבחינת אבטחה?

master

@www
יש עוד הרבה מה להוסיף
לדוגמא שהקוקיס עצמו מכיל את הסיסמה
אבל אם זה כמו שכתבת בכותרת "אתר קטן" והמידע בתוכו לא סודי מאד זה בסדר

dovid

@master שסן זה פיצ'ר של PHP שבפועל משתמש עם קוקיס.
כמובן שהרבה יותר קל להשתמש בשסן וגם יותר בטוח מלממש את זה לבד,
אז היית מדגים לו על שסן (אני לצערי לא יודע).

WWW

@dovid אמר באימות / התחברות לאתר קטן:

(אני לצערי לא יודע).

?

WWW

@dovid אחפש מידע על סשן.

dovid

@www אמר באימות / התחברות לאתר קטן:

@dovid אמר באימות / התחברות לאתר קטן:

(אני לצערי לא יודע).

?

אני בקושי יודע לכתוב שורה בPHP.
גם המעט שידעתי שכחתי.
אתה אמור לכתוב קוד מאוד דומה לשל master רק קצר ופשוט יותר.

WWW

@master אמר באימות / התחברות לאתר קטן:

לדוגמא שהקוקיס עצמו מכיל את הסיסמה

כן, רק עכשיו אני תופס...

dovid

הנה ערכתי את הודעתו של @master (ישר כח!)

<?php
    if ($_POST['password'] == 'MYPASS') {
        $_SESSION['user'] = "שמעון";
        header('Location: index.php');
        exit;
    }
?>

ובכל דף אחר תציב את זה

<?php
    if (!isset($_SESSION['user'])) {
        header('Location: login.php');
        exit;
    }
?>

clickone

@dovid אמר באימות / התחברות לאתר קטן:

שסן זה פיצ'ר של PHP שבפועל משתמש עם קוקיס.

1. זה פיצר כללי. שממומש גם בPHP
2. איך אומרים? סשן או שסן? אני רואה שאתה מקפיד על 'שסן' משום מה אני זוכר שאומרים את זה 'סשן'
   כאן גם אני רואה שבעברית אומרים סשן

WWW

@dovid אמר באימות / התחברות לאתר קטן:

ובכל דף אחר תציב את זה

<?php
    if (!isset($_SESSION['user'])) {
        header('Location: login.php');
        exit;
    }
?>

מן הסתם שכחת:

|| $_SESSION['user'] !== 'שמעון'

dovid

@www אמר באימות / התחברות לאתר קטן:

@dovid אמר באימות / התחברות לאתר קטן:

ובכל דף אחר תציב את זה

<?php
    if (!isset($_SESSION['user'])) {
        header('Location: login.php');
        exit;
    }
?>

מן הסתם שכחת:

|| $_SESSION['user'] !== 'MYPASS'

לא, זה מיותר.

WWW

@dovid אמר באימות / התחברות לאתר קטן:

לא, זה מיותר.

הסבר?

dovid

@www אמר באימות / התחברות לאתר קטן:

@dovid אמר באימות / התחברות לאתר קטן:

לא, זה מיותר.

הסבר?

תסביר למה אתה חושב שזה לא, או יותר נכון תקרא על סשן.

WWW

@dovid אמר באימות / התחברות לאתר קטן:

הנה ערכתי את הודעתו של @master (ישר כח!)
<?php
if ($_POST['password'] == 'MYPASS') {
$_SESSION['user'] = "שמעון";
header('Location: index.php');
exit;
}
?>

לא צריך session_start(); בתחילת הקוד?

dovid

@clickone דיברו על PHP.
ואכן הייתה לי טעות דיסלקטית קבועה, תודה.
המושג סשן זה כמו כפתור, זה לא טכנולוגיה מסויימת אלא תיאור של התנהגות.
יש לזה מימוש בכל שפה שמיועדת לכתוב דפי אינטרנט.

dovid

@www אמר באימות / התחברות לאתר קטן:

לא צריך session_start(); בתחילת הקוד?

שאלה טובה, מסברא נראה לי שלא, תבדוק ותחכים.

dovid

הרגע אני קורא פה שאתה חייב, אחרת זה פשוט לא נשמר.

master

@dovid
חובה , זה בשביל לפתוח אותו , זה בנפרד מההגדרה של מה הוא יכיל,
סשן שומר את המידע עד כמה שידוע לי בצד השרת בלבד ולא בקוקיס כפי שציינת והוא יכול בגלל זה להכיל הרבה יותר דברים,

dovid

@master אמר באימות / התחברות לאתר קטן:

סשן שומר את המידע עד כמה שידוע לי בצד השרת בלבד ולא בקוקיס כפי שציינת והוא יכול בגלל זה להכיל הרבה יותר דברים,

המידע נשמר בצד שרת אבל הקשר (בין המידע לבין הלקוח הנוכחי) מבוסס עוגיות.