Можно ли хранить статус авторизации в сессии?

@Pashtets · Регистрация: 30.12.2016

Студворк — интернет-сервис помощи студентам

Здравствуйте, подскажите пожалуйста правильно ли я делаю и если нет как правильно?

И так регистрация. После проверки данных создается хэш пароля который хранится в бд, сам хэш создаю с помощью функции password_hash($password, PASSWORD_BCRYPT);

Авторизация - введенный пароль сравнивается с хэшем и если совпадают то записываю в сессионную переменную, например - $_SESSION['admin'] = true. Во всех файлах где нужно обеспечить запароленный доступ, прописываю инструкции:

if($_SESSION['admin'] !== true){

      header("Location: login.php");

}

Так вот вопрос состоит в том правильно ли хранить статус авторизации в сессии? В моем случае это $_SESSION['admin'] = true.

Может ли пользователь получить доступ к сессионному файлу и там прописать те же переменные?
И еще вопрос как стоит проверять пользователя во время сессии? Может быть как-то сравнивать ip адрес в начале авторизации и во время пользования админкой?

@Para bellum · 02.03.2018, 10:43

Сообщение от Pashtets

правильно ли хранить статус авторизации в сессии?

Отвечу так: допустимо. Было бы лучше, если были бы middleware, система авторизации.
Файл сессии можно изменить, только если имеется доступ к серверу.

@Pashtets · 05.03.2018, 19:43 **[ТС]**

Так на данный момент система работает, логин работает все отлично, но появилась проблема с временем жизни логина.
По дефолту в настройках сервера стоит время жизни сессионной куки 0, а сессионного файла 1440 секунда, да мы можем повлиять и установить больше срок жизни, но не хотелось бы так делать... Сейчас если закрываешь браузер то приходится вводить логин и пароль по новой.

Можно ли каким-то образом реализовать кнопочку "запомнить меня" к примеру на месяц?

Добавлено через 1 час 51 минуту
Может быть кто-то поделится опытом?

@useruser · 06.03.2018, 10:14

Сообщение от Pashtets

Так на данный момент система работает, логин работает все отлично, но появилась проблема с временем жизни логина.

Ну вот.
Используйте куки.
Вас интересует безопасность? Ок. Упрощенно.
При регистрации имя пользователя и md5(пароль) (хеш) заносятся в базу. Можно и PASSWORD_BCRYPT, да как угодно.
При входе пользователь вводит логин и пароль - вы из его парлся получаете хеш. Далее ищите запись с логином и хешем в бд.
Нашли? - пишите в БД в строке этого пользователя случайную строку (поле токен)- токен. Пример
user userpass AsdfgfgMMdfdf5db
Ставите куку пользователю с этим токеном.
При обращении к любой странице берете у него куку - ищите в БД этот токен. Нашли - значит пользователь прошел авторизацию и зареган. нет - на страницу регистрации.
Выход - просто удалите токен.

Просто, безопасно, удобно.

@Pashtets · 06.03.2018, 13:28 **[ТС]**

useruser,
да спасибо примерно так и сделал, только

Сообщение от useruser

Ставите куку пользователю с этим токеном.
При обращении к любой странице берете у него куку - ищите в БД этот токен.

чтобы уменьшить нагрузку на бд, т.к. используется SQLite3, токен пишу в сессию, ну и только в том случае если токен сесси не совпадает с токеном куки, запрашивается токен из бд по этому пользователю и если разные значит пользователь не авторизирован.

Новые блоги и статьи Все статьи Все блоги /
PhpStorm 2025.3: WSL Terminal всегда стартует в ~ and_y87 14.12.2025 PhpStorm 2025. 3: WSL Terminal всегда стартует в ~ (home), игнорируя директорию проекта Симптом: После обновления до PhpStorm 2025. 3 встроенный терминал WSL открывается в домашней директории. . .	Access VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.	Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .
Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .	Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .	Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .	Создание Single Page Application на фреймах krapotkin 16.11.2025 Статья исключительно для начинающих. Подходы оригинальностью не блещут. В век Веб все очень привыкли к дизайну Single-Page-Application . Быстренько разберем подход "на фреймах". Мы делаем одну. . .

@Pashtets 0 / 0 / 0 Регистрация: 30.12.2016 Сообщений: 77

	Можно ли хранить статус авторизации в сессии? 02.03.2018, 10:16. Показов 1268. Ответов 4 Метки нет (Все метки) Здравствуйте, подскажите пожалуйста правильно ли я делаю и если нет как правильно? И так регистрация. После проверки данных создается хэш пароля который хранится в бд, сам хэш создаю с помощью функции `password_hash($password, PASSWORD_BCRYPT)`; Авторизация - введенный пароль сравнивается с хэшем и если совпадают то записываю в сессионную переменную, например - `$_SESSION['admin'] = true`. Во всех файлах где нужно обеспечить запароленный доступ, прописываю инструкции: `if($_SESSION['admin'] !== true){ header("Location: login.php"); }` Так вот вопрос состоит в том правильно ли хранить статус авторизации в сессии? В моем случае это `$_SESSION['admin'] = true`. Может ли пользователь получить доступ к сессионному файлу и там прописать те же переменные? И еще вопрос как стоит проверять пользователя во время сессии? Может быть как-то сравнивать ip адрес в начале авторизации и во время пользования админкой? 0

@Pashtets 0 / 0 / 0 Регистрация: 30.12.2016 Сообщений: 77
	05.03.2018, 19:43 [ТС]
	Так на данный момент система работает, логин работает все отлично, но появилась проблема с временем жизни логина. По дефолту в настройках сервера стоит время жизни сессионной куки 0, а сессионного файла 1440 секунда, да мы можем повлиять и установить больше срок жизни, но не хотелось бы так делать... Сейчас если закрываешь браузер то приходится вводить логин и пароль по новой. Можно ли каким-то образом реализовать кнопочку "запомнить меня" к примеру на месяц? Добавлено через 1 час 51 минуту Может быть кто-то поделится опытом? 0