Форум программистов, компьютерный форум, киберфорум
PHP для начинающих
Форум программистов и сисадминов Киберфорум > Форум web-программистов > PHP > PHP для начинающих
Войти
Регистрация
Восстановить пароль
Блоги Сообщество Поиск Заказать работу  
 
Рейтинг 4.75/8: Рейтинг темы: голосов - 8, средняя оценка - 4.75
3 / 3 / 1
Регистрация: 24.03.2013
Сообщений: 304

Авторизация на токенах и регистрация

13.06.2017, 19:41. Показов 1697. Ответов 6
Метки нет (Все метки)
Студворк — интернет-сервис помощи студентам
Всё работает.
Правильно ли я, способ метод токен?

Правильно ли использовал функцию
PHP
1

ini_set('session.use_only_cookies', true);
и
PHP
1

output_add_rewrite_var('token', $token);
А вот это нормальный способ,на 136 строке?
PHP
1

$tokenstr = strval(date('s')) . $salt;
А саму регистрацию нормально сделал?

А что мне дают эти токены?

А как сделать, что бы после закрытия браузера, сессия сохранялась?

PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162

<?php
ini_set('session.use_only_cookies', true);
session_start();
error_reporting(-1);
 
$host = 'localhost';
$db = 'token';
$user = 'root';
$pass = '';
$charset = 'utf8';
 
$dsn = "mysql:host=$host; dbname=$db;charset=$charset";
 
$opt = [
    PDO::ATTR_ERRMODE            => PDO::ERRMODE_EXCEPTION,
    PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC,
    PDO::ATTR_EMULATE_PREPARES   => false,
    ];
    
$pdo = new PDO($dsn, $user, $pass, $opt);
 
 
?>
<!DOCTYPE html>
<html>
    <head>
        <title>Токен</title>
        <meta charset="utf-8">
        <style>
            .mudak {
                color: red;
                font-weight: bold;
            }
        </style>
    </head>
    <body>
    <?php
        if(!empty($_GET['action'])) {
            if($_GET['action'] == 'exit') {
                unset($_SESSION['token']);
                session_destroy();
                header('Location: ./index.php');
            }
        }
        
        if(!empty($_SESSION['token'])) {
            echo '<p>Теперь у вас есть полный доступ к сайту <a href="?action=exit">Выход</a></p>';
            echo $_SESSION['token'];
            die();
        }
        
        else {
            echo '<p>Авторизируйтесь, что бы увидеть содержимое сайта</p>';
            
            require_once 'auth.php';
            
            echo '<p><strong>Или зарегистрируйтесь</strong></p>';
            
            require_once 'registr.php';
            
            /*
            *
            *
            *******Начало регистрации*********
            *
            *
            */
            
            if(!empty($_POST['reg'])) {
                if(!empty($_POST['login']) && !empty($_POST['password'])) {
                
                    $login = $_POST['login'];
                    $secret = 'hhJNE63';
                    $password = md5($_POST['password'].$secret);
                    
                    $userExists = "SELECT login FROM users WHERE login = '".$login."'";
                    $queryUser = $pdo->query($userExists);
                    $queryUser->setFetchMode(PDO::FETCH_ASSOC);
            
                if((count($queryUser->fetchAll()) > 0)) {
                    echo '<p>Такой пользователь уже существует<p>';
                    die();
                }
                else {
                    $newUser = "INSERT INTO users(login, password) VALUES(:login, :password)";
                    $newUserPrepare = $pdo->prepare($newUser);
                    $newUserPrepare->bindValue(':login', trim($login), PDO::PARAM_STR);
                    $newUserPrepare->bindValue(':password', trim($password), PDO::PARAM_STR);
                    $newUserPrepare->execute();
                    echo '<p>Регистрация завершена</p>';
                }
                }
                
                else {
                    echo '<p class="mudak">Заполните все поля</p>';
                }
            }
            
            /*
            *
            *
            *******Конец регистрации*********
            *
            *
            */
            
            
            /*
            *
            *
            *******Начало авторизации*********
            *
            *
            */
            
            if(!empty($_POST['auth'])) {
                if(!empty($_POST['login']) && !empty($_POST['password'])) {
                
                    $login = $_POST['login'];
                    $secret = 'hhJNE63';
                    $password = md5($_POST['password'].$secret);
                
                    $user = "SELECT `login`, `password` FROM users WHERE login = :login AND password = :password";
                    $resUser = $pdo->prepare($user);
                    $resUser->bindValue(':login', trim($login), PDO::PARAM_STR);
                    $resUser->bindValue(':password', trim($password), PDO::PARAM_STR);
                    
                    $resUser->execute();
                    $resUser2 = $resUser->fetchAll();
                    
                    if(count($resUser2) === 0){
                        die('Неверный логин или пароль');
                    }
                    else {
                        $salt = $login;
                        $tokenstr = strval(date('s')) . $salt;
                        $token = md5($tokenstr);
                        
                        $_SESSION['token'] = $token;
                        $_SESSION['user'] = $login;
                        output_add_rewrite_var('token', $token);
                        header('Location: ./index.php');
                    
                    }
                }
                
                else {
                    echo '<p class="mudak">Заполните все поля</p>';
                }
            }
            
            /*
            *
            *
            *******Конец авторизации*********
            *
            *
            */
        }
    ?>
    </body>
</html>
0
cpp_developer
Эксперт
20123 / 5690 / 1417
Регистрация: 09.04.2010
Сообщений: 22,546
Блог
 13.06.2017, 19:41
Ответы с готовыми решениями:

регистрация и авторизация
Мне нужно сделать элементарную авторизацию без всяких закидонов. я создала файл регистрации где пользователи записываются в таблицу на...

Авторизация(регистрация) ВК
Добрый вечер! Вот подскажите мне, в общем цель такова у меня. Сделать быструю регистрацию у себя на сайте с помощью ВК. регистрацию...

Регистрация / авторизация
Здравствуйте, меня интересует ещё один вопрос касающийся аторизации и регистрации... Сидел думал над предыдущей проблемой и тут вдруг...

6
930 / 846 / 190
Регистрация: 28.11.2013
Сообщений: 3,621
13.06.2017, 21:14
Токены в сессиях, оригинально. Может, все-таки мыслЮ пустим впереди паровоза?

Добавлено через 4 минуты
Цитата Сообщение от Dimon3x Посмотреть сообщение
class="mudak"
Поломают только ради того, чтобы написать «сам такой».
0
313 / 312 / 221
Регистрация: 11.07.2015
Сообщений: 1,107
13.06.2017, 21:48
http://php.net/manual/ru/session.configuration.php

session.use_only_cookies boolean
session.use_only_cookies определяет, будет ли модуль использовать только cookies для хранения идентификатора сессии на стороне клиента. Включение этого параметра предотвращает атаки с использованием идентификатора сессии, размещенного в URL. Добавлено в PHP 4.3.0. Значение по умолчанию 1 (включено) с версии PHP 5.3.0.
Вряд ли версия php ниже 5.3, поэтому опция не нужна

Добавлено через 30 минут
Скорее всего функцию токена способна заменить сессия
0
3 / 3 / 1
Регистрация: 24.03.2013
Сообщений: 304
13.06.2017, 22:26  [ТС]
Я вот так сделал, только теперь, при каждом обновлении страницы, меняется название сессии

PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201

<?php
ini_set('session.use_only_cookies', true);
session_start();
error_reporting(-1);
 
$host = 'localhost';
$db = 'token';
$user = 'root';
$pass = '';
$charset = 'utf8';
 
$dsn = "mysql:host=$host; dbname=$db;charset=$charset";
 
$opt = [
    PDO::ATTR_ERRMODE            => PDO::ERRMODE_EXCEPTION,
    PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC,
    PDO::ATTR_EMULATE_PREPARES   => false,
    ];
    
$pdo = new PDO($dsn, $user, $pass, $opt);
 
 
?>
<!DOCTYPE html>
<html>
    <head>
        <title>Токен</title>
        <meta charset="utf-8">
        <style>
            .mudak {
                color: red;
                font-weight: bold;
            }
        </style>
    </head>
    <body>
    <?php
        if(!empty($_GET['action'])) {
            if($_GET['action'] == 'exit') {
                unset($_SESSION['token']);
                session_destroy();
                setcookie ("user", "", time()-3600);
                header('Location: ./index.php');
            }
        }
        
        if(!empty($_SESSION['token']) || !empty($_COOKIE['user'])) {
            $sql = "SELECT login, password FROM users WHERE randomSTR = '" .  $_COOKIE['user'] . "'";
            
            $queryUser = $pdo->query($sql);
            $queryUser->setFetchMode(PDO::FETCH_ASSOC);
            $userArray = $queryUser->fetchAll();
            
            if(!empty($userArray[0]['login'])) {
                $login = $userArray[0]['login'];
                
                $salt = $login;
                $tokenstr = strval(date('s')) . $salt;
                $token = md5($tokenstr);
                        
                $_SESSION['token'] = $token;
                output_add_rewrite_var('token', $token);
            }
            
            else {
                die('<p>Авторизируйтесь, что бы увидеть содержимое сайта</p>');
            }
            
            
            echo '<p>Теперь у вас есть полный доступ к сайту <a href="?action=exit">Выход</a></p>';
            
            echo $_SESSION['token'];
            
        }
        
        else {
            echo '<p>Авторизируйтесь, что бы увидеть содержимое сайта</p>';
            
            require_once 'auth.php';
            
            echo '<p><strong>Или зарегистрируйтесь</strong></p>';
            
            require_once 'registr.php';
            
            /*
            *
            *
            *******Начало регистрации*********
            *
            *
            */
            
            if(!empty($_POST['reg'])) {
                if(!empty($_POST['login']) && !empty($_POST['password'])) {
                
                    $login = $_POST['login'];
                    $secret = 'hhJNE63';
                    $password = md5($_POST['password'].$secret);
                    
                    $userExists = "SELECT login FROM users WHERE login = '".$login."'";
                    $queryUser = $pdo->query($userExists);
                    $queryUser->setFetchMode(PDO::FETCH_ASSOC);
            
                if((count($queryUser->fetchAll()) > 0)) {
                    echo '<p>Такой пользователь уже существует<p>';
                    die();
                }
                else {
                    $newUser = "INSERT INTO users(login, password) VALUES(:login, :password)";
                    $newUserPrepare = $pdo->prepare($newUser);
                    $newUserPrepare->bindValue(':login', trim($login), PDO::PARAM_STR);
                    $newUserPrepare->bindValue(':password', trim($password), PDO::PARAM_STR);
                    $newUserPrepare->execute();
                    echo '<p>Регистрация завершена</p>';
                }
                }
                
                else {
                    echo '<p class="mudak">Заполните все поля</p>';
                }
            }
            
            /*
            *
            *
            *******Конец регистрации*********
            *
            *
            */
            
            
            /*
            *
            *
            *******Начало авторизации*********
            *
            *
            */
            
            if(!empty($_POST['auth'])) {
                if(!empty($_POST['login']) && !empty($_POST['password'])) {
                
                    $login = $_POST['login'];
                    $secret = 'hhJNE63';
                    $password = md5($_POST['password'].$secret);
                
                    $user = "SELECT `login`, `password` FROM users WHERE login = :login AND password = :password";
                    $resUser = $pdo->prepare($user);
                    $resUser->bindValue(':login', trim($login), PDO::PARAM_STR);
                    $resUser->bindValue(':password', trim($password), PDO::PARAM_STR);
                    
                    $resUser->execute();
                    $resUser2 = $resUser->fetchAll();
                    
                    if(count($resUser2) === 0){
                        die('Неверный логин или пароль');
                    }
                    else {
                        $arr = ['f', 3, 'g', 'bd', 5, 'p', 'k', 'n', 'v', 'w', 33, 'c', 'o'];
                        shuffle($arr);
                        
                        $str = '';
                        
                        foreach($arr as $k) {
                            $str .= $k;
                        }
                        
                        $sql = "UPDATE users SET randomSTR ='" . $str . "' WHERE login = '" . $login . "'";
                        
                        $queryToket = $pdo->query($sql);
                        
                        setcookie ("user", $str, time()+3600);
                        
                        
                        $salt = $login;
                        $tokenstr = strval(date('s')) . $salt;
                        $token = md5($tokenstr);
                        
                        $_SESSION['token'] = $token;
                        output_add_rewrite_var('token', $token);
                        header('Location: ./index.php');
                    
                    }
                }
                
                else {
                    echo '<p class="mudak">Заполните все поля</p>';
                }
            }
            
            /*
            *
            *
            *******Конец авторизации*********
            *
            *
            */
        }
    ?>
    </body>
</html>
Добавлено через 7 минут
Изменил на это

PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26

if(empty($_SESSION['token']) && !empty($_COOKIE['user'])) {
            $sql = "SELECT login, password FROM users WHERE randomSTR = '" .  $_COOKIE['user'] . "'";
            
            $queryUser = $pdo->query($sql);
            $queryUser->setFetchMode(PDO::FETCH_ASSOC);
            $userArray = $queryUser->fetchAll();
            
            if(!empty($userArray[0]['login'])) {
                $login = $userArray[0]['login'];
                
                $salt = $login;
                $tokenstr = strval(date('s')) . $salt;
                $token = md5($tokenstr);
                        
                $_SESSION['token'] = $token;
                output_add_rewrite_var('token', $token);
            }
        }
        
        if(!empty($_SESSION['token']) ) {
            
            echo '<p>Теперь у вас есть полный доступ к сайту <a href="?action=exit">Выход</a></p>';
            
            echo $_SESSION['token'];
            
        }
Добавлено через 1 минуту
Но теперь получается, хакер может подставлять значение в куку и если оно совпадёт, то произойдёт авторизация
0
313 / 312 / 221
Регистрация: 11.07.2015
Сообщений: 1,107
13.06.2017, 23:07
Вероятно в идентификторе сессии достаточно букв, чтобы хакеру не удалось подобрать идентификатор, хотя полностью исключить данную возможность нельзя, но все сайты авторизуют пользователя именно так
0
3 / 3 / 1
Регистрация: 24.03.2013
Сообщений: 304
14.06.2017, 00:45  [ТС]
Вот так сделал удаление статьи, с помощью токена, правильно ли

PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67

<?php
 
echo '<p>Добавить статью</p>';
 
require_once 'add.php';
 
echo '<p>Мои статьи</p>';
 
$myArticle = "SELECT article.id, title, user_id FROM article INNER JOIN users ON article.user_id = " . $_SESSION['id'] . " GROUP BY article.title";
$sth = $pdo->query($myArticle);
$sth->setFetchMode(PDO::FETCH_ASSOC);
$userArticle = $sth->fetchAll();
 
echo '<pre>';
print_r($userArticle);
echo '</pre>';
 
 
echo '<table>';
echo '<tr>';
    echo '<td>Название</td>';
    echo '<td>Действие</td>';
echo '</tr>';
 
foreach($userArticle as $key) {
    echo '<tr>';
    echo '<td>'.$key['title'].'</td>';
    echo '<td><form method="post">
        <input type="hidden" name="id-title" value="'.$key['id'].'">
        <input type="hidden" name="id-user" value="'.$key['user_id'].'">
        <input type="submit" name="del-article" value="Удалить">
    </form></td>';
    echo '</tr>';
}
echo '<table>';
 
if(!empty($_POST['del-article'])) {
    
    $sql = "SELECT article.id, `title`, `user_id`, users.randomSTR FROM article INNER JOIN users ON article.id = '".$_POST['id-title']."' AND article.user_id = '".$_POST['id-user']."' AND users.randomSTR = '".$_COOKIE['user']."' GROUP BY article.title";
    $sth = $pdo->query($sql);
    $sth->setFetchMode(PDO::FETCH_ASSOC);
    $delArticle = $sth->fetchAll();
    
    if(count($delArticle[0]) > 1) {
        $sqlDelArticle = "DELETE FROM article WHERE id = :id";
        $del = $pdo->prepare($sqlDelArticle);
        $del->bindValue(':id', $_POST['id-title'], PDO::PARAM_INT);
        $del->execute();
        echo 'Удалено';
    }
    
    else {
        echo 'Ошибка удаления';
    }
    
    /*
    echo '<pre>';
    print_r($delArticle);
    echo '<pre>';
    echo count($delArticle[0]);
    */
    
    
}
 
 
///SELECT article.id, title, user_id FROM article LEFT JOIN users ON article.user_id = 3 GROUP BY article.title;
0
313 / 312 / 221
Регистрация: 11.07.2015
Сообщений: 1,107
14.06.2017, 17:52
Если под админом - правильно, если под пользователем - вместо $_POST['user_id'] надо использовать $_SESSION['user_id']
1
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
raxper
Эксперт
30234 / 6612 / 1498
Регистрация: 28.12.2010
Сообщений: 21,154
Блог
 14.06.2017, 17:52
Помогаю со студенческими работами здесь

Регистрация/Авторизация
Доброго времени суток. Понимаю что вопрос заезженный, но всё же. Как лучше всего реализовать регистрацию и авторизацию в программе по...

Регистрация и авторизация
Новичок. Делаю регистрацию и авторизацию через куки с двойным хешированием md5. Хеш на сервере и хеш в куки совпадают, но тем не менее,...

Регистрация и авторизация.
Мне необходима регистрация и авторизация пользователей на сайте. Буду пробовать делать защиту от накрутки голосования по авторизации...

Регистрация и авторизация
Помогите реализовать регистрацию и авторизацию не используя БД, а с помощью файлов.

Регистрация/Авторизация
Здравствуйте. Мне необходимо сделать форму регистрации/авторизации пользователя. Вопрос такой, как можно осуществить отправку сообщения...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
7
Ответ Создать тему
Новые блоги и статьи
Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост.
Programma_Boinc 28.12.2025
Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Налог на собак: https:/ / **********/ gallery/ V06K53e Финансовый отчет в Excel: https:/ / **********/ gallery/ bKBkQFf Пост отсюда. . .
Кто-нибудь знает, где можно бесплатно получить настольный компьютер или ноутбук? США.
Programma_Boinc 26.12.2025
Нашел на реддите интересную статью под названием Anyone know where to get a free Desktop or Laptop? Ниже её машинный перевод. После долгих разбирательств я наконец-то вернула себе. . .
Thinkpad X220 Tablet — это лучший бюджетный ноутбук для учёбы, точка.
Programma_Boinc 23.12.2025
Рецензия / Мнение/ Перевод Нашел на реддите интересную статью под названием The Thinkpad X220 Tablet is the best budget school laptop period . Ниже её машинный перевод. Thinkpad X220 Tablet —. . .
PhpStorm 2025.3: WSL Terminal всегда стартует в ~
and_y87 14.12.2025
PhpStorm 2025. 3: WSL Terminal всегда стартует в ~ (home), игнорируя директорию проекта Симптом: После обновления до PhpStorm 2025. 3 встроенный терминал WSL открывается в домашней директории. . .
Как объединить две одинаковые БД Access с разными данными
VikBal 11.12.2025
Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.
Новый ноутбук
volvo 07.12.2025
Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro
 Музыка, написанная Искусственным Интеллектом
volvo 04.12.2025
Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .
От async/await к виртуальным потокам в Python
IndentationError 23.11.2025
Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .
Поиск "дружественных имён" СОМ портов
Argus19 22.11.2025
Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .
Сколько Государство потратило денег на меня, обеспечивая инсулином.
Programma_Boinc 20.11.2025
Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .
КиберФорум - форум программистов, компьютерный форум, программирование
Поддержать - Реклама - Условия использования - Обратная связь
Powered by vBulletin
Copyright ©2000 - 2025, CyberForum.ru