Авторизация на сессиях

@Laroux · Регистрация: 21.11.2014

Студворк — интернет-сервис помощи студентам

Ребяты, подскажите, пожалуйста идеологию авторизации на сессиях (без кук).

Есть БД юзверей. В ней id, логин и пароль в md5 и или иже с ним (соль там и все такое).

Стартуем сессию, проверяем, задан ли $_SESSION['id']. Если нет, то отправляем на страницу авторизации.
Если задан, то лезем в БД и проверяем, есть ли юзверь с таким id. Если есть, пускаем на страницу, если нет - отправляем опять же на страничку авторизации.

Такого подхода достаточно? Или необходимо более надежно защититься?

К примеру, кроме $_SESSION['id'] задавать еще какой-нить уникальный для данной сессии $_SESSION['session_hash'], который генерится при авторизации и записывается в БД, а затем проверяется вместе с id?
Я вот этот момент не очень понимаю... ну если он нужен, конечно. По мне, так это только для кук надо делать...

Можете в двух словах описать безопасный принцип авторизации на сессиях?

А то примеров в инете куча, но никто не описывает идеологии: тупо "сделайте так", "сделайте так" и "как видите все просто".

@Laroux · 09.09.2016, 17:38 **[ТС]**

Сообщение от Jewbacabra

Компроментация id сессии

каким образом?

Добавлено через 36 секунд

Сообщение от Jodah

зачем session_id в БД сохранять?

чтобы было понятно, что с этой сессией сейчас работает именно этот пользователь.

@Jewbacabra · 09.09.2016, 17:41

Сообщение от Laroux

каким образом?

Прослушивание трафика, зловредное ПО на стороне клиента

@maruo · 09.09.2016, 17:49

PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
/**
    *--Проверка авторизован ли пользователь
    *--Проверяет существует ли сессия с $argument
    *--Если сессия существует то возвращает true
    *--Если сессия не существует, проверяем есть ли в куках Логин и Пароль
    *--Если куки есть то вызываем функцию авторизации | если нету вернем false
    *--Если данные в куках валидны и функция loginInSite возвращает true , авторизуем пользователя
    */
    public function is_auth($argument){
        if(isset($_SESSION[$argument])){
            return true;
        }else{
            if(self::$cookie->exists('US_login') && self::$cookie->exists('US_password')){
                if($this->loginInSite(self::$cookie->get('US_login'),self::$cookie->get('US_password'),true)){
                    return true;
                }else{
                    return false;
                }
            }else{
                return false;   
            }
        }
    }
 
    /**
    *--Авторизация на сайте Для пользователей
    *--Принимает Логин, Пароль, и если отмечено записать в куки
    *--Возвращает true в случае удачной авторизации|false неудаче
    */
    public function loginInSite($login,$password,$remember = false){
        if(!empty($login) && !empty($password)){
 
            $users = $this->tbl($this->users);
 
            $sql = "SELECT * FROM {$users} WHERE prg_login = ?";
            $result = self::$PDO->Query($sql,$login);
            if($result === false){
                return false;
            }else{
                if($result['prg_password'] == md5($password)){
                    $_SESSION['userAuth'] = array('userID' => $result['prg_user_id']);
                    if($remember !== false){
                        self::$cookie->set('US_login'   ,$login,   self::$cookie::SevenDays,'/',$_SERVER['SERVER_NAME']);
                        self::$cookie->set('US_password',$password,self::$cookie::SevenDays,'/',$_SERVER['SERVER_NAME']);   
                    }
                    return true;
                }else{
                    return false;
                }
            }
        }else{
            return false;
        }
    }

Вот дефолтная моя авторизация , и я не мучаюсь, и все работает как надо.

Для API у меня другая история, но она тут не нужна

Добавлено через 7 минут
А все эти сессии и id сессиий в бд, чепуха не предсталяю какую она тебе защиту даст.
Если куки украли то пиши пропало
Сессию стащили, тоже пиши пропало

@miketomlin · 09.09.2016, 18:19

Сообщение от Laroux

чтобы было понятно, что с этой сессией сейчас работает именно этот пользователь.

Какой этот?

Вы просто проверяете, установлены ли сессионные переменные и все. Сохранение sid'а в базе может потребоваться для работы на нескольких устройствах, чтобы для каждого устройства не создавалась отдельная сессия.

@Laroux · 09.09.2016, 23:28 **[ТС]**

miketomlin, ну вот же! Вот оно!
Я и хочу понять, что и как не так. Прослушивание трафика и вредоносные программы - это все понятно. Но мы же сейчас не о банковской системе какой-то говорим. Тогда уже давайте об инсайдерах не забывать, что чаще дешевле...

У меня не сайт, раз уж такая пьянка. У меня некий ресурс типа CRM. Нет у меня необходимости: а) ходить в систему из разных браузеров; 2) ходить в систему с разных IP в рамках сессии, ибо народ работает на рабочих местах.. а я пароль введу себе уж как-нить.

И я хочу адекватный баланс между удобством и безопасностью, чтобы у меня не "стибрили" мои годами наработанные данные.

Что касается записи идентификатора сессии в базу - а чем вам не дополнительная защита-то? Если вас постоянно выкидывает из системы - идите к админу (разрабу): то ли он криворукий, то ли какие-то проблемы у нас, Хьюстон.

Я, ко всему прочему, хочу сделать лог авторизаций: время, IP. И, поверьте, я его буду смотреть.. ибо я с Астериском уже встрял, было дело (а надо было всего навсего хотя бы иногда смотреть логи).

В общем я из всего нашего топика+гугление вынес для себя единственное приемлемое решение: кук не будет, ибо это достояние пользователя (мошенника) и при этом в БД для проверки будет записываться implode http-запроса в виде sha какого-нить + проверка IP сесии.

@miketomlin · 10.09.2016, 00:16

Сообщение от Laroux

Я и хочу понять, что и как не так. Прослушивание трафика и вредоносные программы - это все понятно. Но мы же сейчас не о банковской системе какой-то говорим. Тогда уже давайте об инсайдерах не забывать, что чаще дешевле...
У меня не сайт, раз уж такая пьянка. У меня некий ресурс типа CRM. Нет у меня необходимости: а) ходить в систему из разных браузеров; 2) ходить в систему с разных IP в рамках сессии, ибо народ работает на рабочих местах.. а я пароль введу себе уж как-нить.

И я хочу адекватный баланс между удобством и безопасностью, чтобы у меня не "стибрили" мои годами наработанные данные.

Это понятно. Вы спросили – вам ответили. Доп. проверки делаются сверх того, о чем сейчас идет, если нужно защититься, «как в банке». По IP сейчас уже не так актуально, куча народа практически постоянно работает с мобильных устройств.

Сообщение от Laroux

Что касается записи идентификатора сессии в базу - а чем вам не дополнительная защита-то? Если вас постоянно выкидывает из системы - идите к админу (разрабу): то ли он криворукий, то ли какие-то проблемы у нас, Хьюстон.

В чем «дополнительность», не понятно. Объясните. Или вы имеете в виду возможность выхода сразу на всех устройствах, о чем я в статье писал? Но если так, вам каждый раз для проверки придется тянуть sid из базы. Тогда в чем вообще профит от использования сессий, хранимых в файлах? Делайте на чистых куках, как я вам показал.

Сообщение от Laroux

Я, ко всему прочему, хочу сделать лог авторизаций: время, IP. И, поверьте, я его буду смотреть.. ибо я с Астериском уже встрял, было дело (а надо было всего навсего хотя бы иногда смотреть логи).

Флаг в руки, какие проблемы. Этим все балуются. Занятно наблюдать, как брутят мои сайты. Только на основе логов можно собрать базу «популярных» паролей.

Сообщение от Laroux

В общем я из всего нашего топика+гугление вынес для себя единственное приемлемое решение: кук не будет, ибо это достояние пользователя (мошенника) и при этом в БД для проверки будет записываться implode http-запроса в виде sha какого-нить + проверка IP сесии.

Походу вы про куки так ничего и не поняли.

@Azdeman · 10.09.2016, 00:47

Сообщение от Laroux

чтобы было понятно, что с этой сессией сейчас работает именно этот пользователь.

зачем? Если у вас авторизация есть, есть id пользователя, есть session_id() - он уникальный для каждого.

Я session_id пихал в базу , когда у меня не было регистрации и авторизации, аа нужно было добавить определенную инфу в базу данных и потом знать что она моя по session_id(). Но это работало до выхода из браузера. И еще раз повторяю, это было целесообразно когда нужно было сохранить состояния, ( идентифицировать человека ибо нет у него не имени , не id, ничего кроме PHPSESSID) для чего и используются куки и сессии.

Вот если бы у меня была авторизация , я бы сохранял ествественно id пользователя и по ней бы вытягивал инфу. А так пришлось session_id использовать.

@miketomlin · 10.09.2016, 01:10

Laroux, пару слов про CRM... Если речь идет не об отдельных рядовых пользователях, а о менеджерах, вам нужно сделать так, чтобы точку входа в систему для привилегированных пользователей даже найти было трудно, не то что ее взломать.

Помимо всего прочего форму входа, имя хоста с DNS-сервера можете перенести на рабочие места менеджеров. Можно и всю систему перенести, оставив только базу и хранилище файлов с клиентской частью на сервере.

@Jodah · 10.09.2016, 09:49

Сообщение от Laroux

И я хочу адекватный баланс между удобством и безопасностью, чтобы у меня не "стибрили" мои годами наработанные данные.

Тогда имхо лучше куки.

Сообщение от Laroux

Что касается записи идентификатора сессии в базу - а чем вам не дополнительная защита-то?

Тем, что никакой защиты не даёт. Можно вообще всю информацию о юзере из БД писать в сессию и при каждом заходе сверять.

Имя, фамилию, год рождения и т.п. Но это просто переливание информации туда-обратно, практической пользы никакой.

Сообщение от Laroux

кук не будет, ибо это достояние пользователя (мошенника)

Да будут у вас куки в любом случае. Что напрямую через setcookie будете отправлять, что session_start будет отправлять за вас. Чем бояться неизведанного, лучше потратьте больше времени на изучение.

Новые блоги и статьи Все статьи Все блоги /
Гайд, как ворваться в вайб-кодинг в мае 2026 Noname2331 17.05.2026 Простите за получившееся полотно текста, я даже не знаю, как его разбить на главы. Тут, что называется, ни добавить ни убавить, одна сцена одним дублем. На моих глазах недавно случилось чудо. Как. . .	[golang] Алгоритм «Хак Госпера» alhaos 17.05.2026 Алгоритм «Хак Госпера» Хак Госпера (Gosper's Hack) — алгоритм нахождения следующего по величине числа с тем же количеством установленных бит. Придуман Биллом Госпером в 1970-х, опубликован в. . .	Рисование бинарного древа до 6-го колена на js, svg. russiannick 17.05.2026 <svg width="335" height="240" viewBox="0 0 335 240" fill="#e5e1bb"> <style> <!]> </ style> <g id="bush"> </ g> </ svg> function fn(){ let rost;/ / высота древа let xx=165,yy=210,w=256;	FSharp: interface of module DevAlt 16.05.2026 Интерфейс модуля F# позволяет управлять доступностью членов, содержащихся в реализации модуля. По-умолчанию все члены модуля доступны: module Foo let x = 10 let boo () = printfn "boo" . . .
Хитросплетение родственных связей пантеона греческих богов. russiannick 14.05.2026 Однооконник, позволяющий узреть и изучить отдельных героев древней Греции. <!DOCTYPE html> <html lang="ru"> <head> <meta charset="UTF-8"> <meta http-equiv="X-UA-Compatible". . .	[golang] Угол между стрелками часов alhaos 12.05.2026 По заданным значениям часа и минуты необходимо определить значение меньшего угла между стрелками аналогового циферблата часов. import "math" func angleClock(hour int, minutes int) float64 { . . .	Debian 13: Установка Lazarus QT5 ВитГо 09.05.2026 Эта инструкция моя компиляция инструкций volvo https:/ / www. cyberforum. ru/ blogs/ 203668/ 10753. html и его же старой инструкции по установке Lazarus с gtk2. . .	Нейросеть на алгоритме "эстафета хвоста" как перспектива. Hrethgir 06.05.2026 На десерт, когда запущу сервер. Статья тут https:/ / habr. com/ ru/ articles/ 1030914/ . Автор я сам, нейросеть только помогает в вопросах которые мне не известны - не знаю людей которые знали-бы. . .

@Laroux 172 / 167 / 75 Регистрация: 21.11.2014 Сообщений: 1,490

	Авторизация на сессиях 09.09.2016, 12:57. Показов 1286. Ответов 28 Метки нет (Все метки) Ребяты, подскажите, пожалуйста идеологию авторизации на сессиях (без кук). Есть БД юзверей. В ней id, логин и пароль в md5 и или иже с ним (соль там и все такое). Стартуем сессию, проверяем, задан ли $_SESSION['id']. Если нет, то отправляем на страницу авторизации. Если задан, то лезем в БД и проверяем, есть ли юзверь с таким id. Если есть, пускаем на страницу, если нет - отправляем опять же на страничку авторизации. Такого подхода достаточно? Или необходимо более надежно защититься? К примеру, кроме $_SESSION['id'] задавать еще какой-нить уникальный для данной сессии $_SESSION['session_hash'], который генерится при авторизации и записывается в БД, а затем проверяется вместе с id? Я вот этот момент не очень понимаю... ну если он нужен, конечно. По мне, так это только для кук надо делать... Можете в двух словах описать безопасный принцип авторизации на сессиях? А то примеров в инете куча, но никто не описывает идеологии: тупо "сделайте так", "сделайте так" и "как видите все просто". 0

@Laroux 172 / 167 / 75 Регистрация: 21.11.2014 Сообщений: 1,490
	09.09.2016, 23:28 [ТС]
	miketomlin, ну вот же! Вот оно! Я и хочу понять, что и как не так. Прослушивание трафика и вредоносные программы - это все понятно. Но мы же сейчас не о банковской системе какой-то говорим. Тогда уже давайте об инсайдерах не забывать, что чаще дешевле... У меня не сайт, раз уж такая пьянка. У меня некий ресурс типа CRM. Нет у меня необходимости: а) ходить в систему из разных браузеров; 2) ходить в систему с разных IP в рамках сессии, ибо народ работает на рабочих местах.. а я пароль введу себе уж как-нить. И я хочу адекватный баланс между удобством и безопасностью, чтобы у меня не "стибрили" мои годами наработанные данные. Что касается записи идентификатора сессии в базу - а чем вам не дополнительная защита-то? Если вас постоянно выкидывает из системы - идите к админу (разрабу): то ли он криворукий, то ли какие-то проблемы у нас, Хьюстон. Я, ко всему прочему, хочу сделать лог авторизаций: время, IP. И, поверьте, я его буду смотреть.. ибо я с Астериском уже встрял, было дело (а надо было всего навсего хотя бы иногда смотреть логи). В общем я из всего нашего топика+гугление вынес для себя единственное приемлемое решение: кук не будет, ибо это достояние пользователя (мошенника) и при этом в БД для проверки будет записываться implode http-запроса в виде sha какого-нить + проверка IP сесии. 0

@miketomlin 930 / 846 / 190 Регистрация: 28.11.2013 Сообщений: 3,621
	10.09.2016, 01:10
	Laroux, пару слов про CRM... Если речь идет не об отдельных рядовых пользователях, а о менеджерах, вам нужно сделать так, чтобы точку входа в систему для привилегированных пользователей даже найти было трудно, не то что ее взломать. Помимо всего прочего форму входа, имя хоста с DNS-сервера можете перенести на рабочие места менеджеров. Можно и всю систему перенести, оставив только базу и хранилище файлов с клиентской частью на сервере. 0