Авторизация с сессией , php+mysql , session_start

Привет всем! Вспоминаю PHP в связи с началом программирования под Android. Написал несколько страниц по выборке, редактированию данных в формате JSON. Все работает. На стороне файла db_connect.php стоит временная заглушка, где логин, пароль,хост и база вшита уже.(для тестирования). К нему идет подключение из всех страниц с CRUD и в общем то в тесте все работает как надо.
На стороне сервера MySql используется родная авторизация, с прописанными ролями ,триггерами, функциями (то есть без дополнительных велосипедов в виде таблицы users и проч.) И тоже все работает как надо.

Формат работы с php+mysql: точечное соединение/запрос/закрытие соединения. Пароль и логин храниться в классе Java на android (не в инет браузере, а в приватном классе скомпилированного приложения в sndroid. И то только ,если пароль и логин успешный. ). Никаких куков, сессий нет. То есть порядок следующий - подключился/ запросил/отключился.

Но вопрос в общем то назрел, не в разрезе android, а в разрезе PHP, давно хотел дожать. Смотрите, есть небольшой код авторизации на PHP, написал ради теста. Код простой. Я написал простую форму авторизации.

Подскажите пожалуйста, как правильно использовать сессию $_SESSION, чтобы после ввода правильного логина и пароля уже юзать в дальнейшем только сессию? Код авторизации чуть ниже и он прост.

Добавлено через 26 минут
help)

0

Сообщение от Сергей1980 Вспоминаю PHP в связи с началом программирования под Android

ничесе! Круто, скоро и яблочники подтянутся ))

secrt_page.php:

0

Спасибо за царский подгон!

Но я чет в родном mysql не вижу таблицы users)) Есть только таблица user.
Еще раз говорю , что у меня родная аутентификация на сервере, под родной интерфейс mysql Без создания дополнительной таблицы users.

Добавлено через 33 минуты
Так то при наличии дополнительно созданной таблицы users, с любезно созданными полями user,pasword и полем хранящем ид сессии любой может запросить и сверить idшник сессии.)

Кто может справиться с mysql_native_password в разрезе сессии? То есть с хранением сессии при нативной защите MySQL?
Без велосипеда в виде дополнительно созданной таблицы users?

0

Сообщение от Сергей1980 Но я чет в родном mysql не вижу таблицы users)) Есть только таблица user.

А в таблице user есть поля login и pass? Я привел пример кода, естественно там нужно прописать свои данные.

Сообщение от Сергей1980 у меня родная аутентификация на сервере, под родной интерфейс mysql

возможно я не понял задачу. То есть нужно подключаться к БД через сессию? Тогда так:И дальше смотреть если есть сессии, то подключаемся по ним, если есть POST, то по нему.

Или я вообще не понял что такое:

Сообщение от Сергей1980 у меня родная аутентификация на сервере, под родной интерфейс mysql

1

Да

Сообщение от sasha0012 А в таблице user есть поля login и pass? Я привел пример кода, естественно там нужно прописать свои данные.

Да, конечно есть, это служебная таблица mysql, там очень много полей, вот к примеру скрин:


Там есть основные поля, логин, хост и пароль. Пароль естественно зашифрован, и называется даже не паролем, а authentification string. Там дичь вида 1B84707ав.D5C041B84707ывыв1B84707. В общем это взрослая аутентификация.
Настоящая.
ИМХО наверное сессию при использовании родной защитой MYSQL из коробки не поднять. (точней ей никак не возпользоваться.)
Спасибо за пример , сейчас потестю, Может как то юзануть и получиться!

0

Сергей1980, только нужно учитывать, что данные, которые вы записываете в сессию, хранятся в открытом виде в текстовых файликах на сервере. Это не критично, но более надёжный вариант - отдельная таблица user/users, где вместо пароля хранится его хеш.

1

Сообщение от Jodah Сергей1980, только нужно учитывать, что данные, которые вы записываете в сессию, хранятся в открытом виде в текстовых файликах на сервере. Это не критично, но более надёжный вариант - отдельная таблица user/users, где вместо пароля хранится его хеш.

да да, понимаю, но users согласитесь это велосипед. Потому что уже на самом mysql в чистом виде вы можете создавать полноценного пользователя( логин ,пароль, поведение, права по умолчанию и пр..), и там есть (в системной таблице mysql.user) то же самое захешированное поле пароль (Только называется оно authentification string ). И задать этому пользователю силами MySQL можно доступ к любому объекту базы с любыми правами (У меня к примеру на MySQL реализованы права даже до уровня полей в таблице, может он менять значение данного поля ,или нет , имеет ли доступ к сохраненной процедуре или нет, итд.. Даже если ломанут логин и пароль, то только в рамках его прав, выше - на уровень root хрен, реально хрен. А вот если с доп таблицей users, то это та еще дыра.)

Я давно ничего не писал на PHP, знания посредственные. Но по сравнению с той же java, язык дружелюбный и понятный. Особых опасений хранить логин и пароль (после успешного подключения естественно-верный логин и пароль, и на время работы андроид приложения) в классе java нет. Там хрен сломаешь, если только кто то вирусов напустит на телефон, типа пунто свитчера))

Практикую точечные запросы к серверу, без всяких куков и сессий, ничего нигде не хранится, кроме логина и пароля в приватном классе андроид приложения.

Но такая методика в PHP+MySQL для браузерного варианта приложения вижу не работает без велосипедов((. По сути $_SESSION, $_SERVER и прочие это глобальные переменные, которые можно угнать. Сколько не соли их((

А можно в PHP в качестве глобальной переменной хранить объект типа Connection? и обращаться к нему при необходимости? C ООП на этом уровне проблем нет, может класс какойнить есть по данному примеру?

0

Сообщение от Сергей1980 но users согласитесь это велосипед

Аналогично можно сказать, что пользователи БД - это велосипед, ведь у нас уже есть функционал управления пользователями, встроенный в операционную систему.

Пользователь сайта - это всё таки другая сущность, нежели пользователь базы данных, у него другое предназначение. К примеру, если у нас есть интернет-магазин, мы можем каждый день создавать сотни новых пользователей, но все они будут работать под одним и тем же пользователем СУБД. Потому что у всех у них должны быть одни и те же права в рамках СУБД, но у них могут быть различия в рамках самого приложения (размер скидки, например).

Сообщение от Сергей1980 пароля в приватном классе андроид приложения

С Андроидом не работал, поэтому, к сожалению, не понимаю, о чём идёт речь.

Сообщение от Сергей1980 По сути $_SESSION, $_SERVER и прочие это глобальные переменные, которые можно угнать.

Не совсем так, я говорил скорее про минимизацию потерь в случае взлома. Меньше узких мест - крепче спишь.

Сообщение от Сергей1980 А можно в PHP в качестве глобальной переменной хранить объект типа Connection?

Что вы имеете ввиду под глобальной переменной? Есть подозрение, что мы можем говорить о разных вещах.

Если вы говорите именно про PHPшные глобальные переменные - то можно, но лучше подойдёт паттерн Синглтон. Он простой, в сети есть куча примеров.

1

Сообщение от sasha0012 То есть нужно подключаться к БД через сессию? Тогда так:

Спасибо большое, да, использовать сессию для обращения и подключения к БД, то есть при успешном вводе логина и пароля ,хранить значение логина и пароля в сессии, (как в вашем примере) на время жизни работы браузера/время жизни сессии.


Алгоритм работы сессии стал понятен. Мне было ценно понять, как вообще работает сессия. Оказывается там можно хранить вообще все что угодно, и в рамках id её тягать оттуда ,то что ты записал туда. Еще раз спасибо!

Как понимаю, вот так делать не надо с позиции безопасности?
else{
$_SESSION['login'] = $log;
$_SESSION['pass'] = $pass;
}


Добавлено через 51 минуту
FOR JODAN:

Сообщение от Jodah Аналогично можно сказать, что пользователи БД - это велосипед, ведь у нас уже есть функционал управления пользователями, встроенный в операционную систему.

По сути- да, но там все вылизано и выхолощено с точки зрения безопасности. Разработчиками SUN/ORACLE. Мы так не напишем как они)

Сообщение от Jodah Пользователь сайта - это всё таки другая сущность, нежели пользователь базы данных, у него другое предназначение

Вы правильно подметили, остальной народ не понял сначала. У меня действительно проект, в котором юзер- пользователь базы. Прекрасно понимаю о чем вы говорите, соединение под своей учеткой операция дорогая и mysql не может держать много открытых разных учеток в одно и то же время. Можно создать одну учетку SomeUser к примеру, дать ей доступ к таблице users (которую мы дополнительно создали), определить правила обработки данной таблицы и других таких же созданных нами таблиц при помощи процедур ,триггеров, функций. И все это будет крутиться по сути под одной учетной записью. Для всех пользователей, которые заходят в БД. Просто с учетом правил они будут видеть то, что относиться к ним , исходя к примеру из ID таблицы users, которую можно выбрать только в том случае если session_id на клиенте и в этой таблице совпадает) Я делал такую штуку сам, причем в MS Access, когда не знал как использовать sql server.)

Сообщение от Jodah С Андроидом не работал, поэтому, к сожалению, не понимаю, о чём идёт речь.

Представьте что это просто десктопное приложение,которое просто крутиться на телефоне. По сути так и есть. Вы написали приложение, закомпилировали его в формате apk и запускаете с телефона, либо можно и с компьютера тоже, если закомпилили в jar. Ничего заумного нет)

Сообщение от Jodah Если вы говорите именно про PHPшные глобальные переменные - то можно, но лучше подойдёт паттерн Синглтон. Он простой, в сети есть куча примеров.

Синглтон был моим первым паттерном на Java который я прочитал и выучил) Давайте сравним их в разрезе синглтона, который подключается к БД на php mySql:
PHP:


А вот Java:



Смысл понятен, метод класса возвращает объект "соединение с БД", если старого нет, или оно умерло. Кстати в java припилен дополнительно метод syncronized в моем примере, который под подключение вызывает отдельный поток ,который не тормозит выполнение другого кода программы. И ускоряет работу приложения. В PHP наверное тоже можно.

0

Сообщение от Сергей1980 Для всех пользователей, которые заходят в БД.

На всякий случай уточню - в случае веба юзер не заходит в базу. Он обращается к серверу, который может обратиться к базе. Напрямую юзер с базой не взаимодействует.

Отсюда другой нюанс:

Сообщение от Сергей1980 определить правила обработки данной таблицы и других таких же созданных нами таблиц при помощи процедур ,триггеров, функций

Не только СУБДшный функционал. Например, мы можем получить из БД текущего пользователя, затем средствами PHP проверить, скажем, столбец is_admin и если он равен 0, запретить доступ к странице сайта. Это будет происходить уже средствами PHP, база только предоставляет нужную информацию.

Сообщение от Сергей1980 Вы написали приложение, закомпилировали его в формате apk и запускаете с телефона

Понял.

Сообщение от Сергей1980 Давайте сравним их в разрезе синглтона

Семантически похожи. Только в PHPшном варианте вместо static DB_HOST должно быть const DB_HOST, поскольку идёт объявление константы, а не обычной переменной.

1

Эти все вопросы по топику у меня появились, когда я захотел сделать веб интерфейс для моей базы, которая крутится на mySql

На стороне клиента 2 варианта:
1) Клиент на Андроид - юзает сервер /базу через Retrofit, все Ок.
2) Клиент на MS Access юзает напрямую mySql через ODBC, все Ок.
3) Судорожно вспоминаю PHP с позиции как грамотно организовать авторизацию, защищенную)) Решил написать морду на HTML+JS+PHP+MySQL.

Сообщение от Jodah На всякий случай уточню - в случае веба юзер не заходит в базу. Он обращается к серверу, который может обратиться к базе. Напрямую юзер с базой не взаимодействует.

Как вы думаете,в моем случае может не использовать сессию и куки вообще? Действительно в одном файле написать подключение, используя синглтон, а потом из всех других страничек проекта обращаться к этой, где раздается подключение в формате PDO?

0

Сергей1980, а какая перед вами стоит задача?

0

Сообщение от Jodah Сергей1980, а какая перед вами стоит задача?

Простой CRUD в рамках трех-четырех таблиц/вьюшек. Упрощенный формат посмотреть данные

1) пользователь заходит на сайт, вводит логин и пароль (авторизация native MySql) . При успешном вводе логина и пароля устанавливается подключение с базой. (Ваш пример с синглтоном и PDO отличнейший!)
2) В рамках созданного успешного соединения появляется возможность использовать SELECT/UPDATE/INSERT/DELETE в рамках своей роли (у меня это все реализовано уже).

Ну то есть оформить синглтон в виде отдельного файла, типа connect.php а потом отовсюду его дергать:
Только туда передать логин и пароль , к примеру через POST, и нигде не хранить. Обработать подключение , и при успешной авторизации, как раз и пользоваться им дальше. (банально if $conn==true переход на страницу два, и дальнейшая работа с успешным $conn )

Если он что то выдает , то соответственно выборка пойдет. А если нет, то просто запрос/ы не выполнятся.

0

Сергей1980, понятно.

Проблема в том, что PHP скрипт запускается и умирает при каждом http-запросе. Нельзя создать объект PDO и сохранить его куда-то, чтобы он был доступен сразу в нескольких http-запросах. При каждом запросе мы создаём новый объект PDO.

Сессии или куки в любом случае нужны, поскольку позволяют идентифицировать пользователя между http-запросами.

В общем, наиболее распространённое решение - создаём таблицу users, в которой есть как минимум id | login | password. И при успешной авторизации сохраняем id юзера в сессию. Тогда никаких логинов и паролей в сессии хранить не нужно. В PDO для всех прописываем одни и те же реквизиты доступа.

Если хотите использовать ваш подход, в котором пользователь сайта == пользователь базы, тогда, видимо, придётся хранить логин и пароль в сессии, поскольку в каждом http-запросе вам потребуется подставлять их в PDO.

1

Сообщение от Jodah Проблема в том, что PHP скрипт запускается и умирает при каждом http-запросе. Нельзя создать объект PDO и сохранить его куда-то, чтобы он был доступен сразу в нескольких http-запросах. При каждом запросе мы создаём новый объект PDO.

Сообщение от Jodah Если хотите использовать ваш подход, в котором пользователь сайта == пользователь базы, тогда, видимо, придётся хранить логин и пароль в сессии, поскольку в каждом http-запросе вам потребуется подставлять их в PDO.

Как ножом по сердцу))

Ясно, спасибо, а как к примеру настроить сессию таким образом, чтобы если нет никакой активности пользователя к примеру 3 минуты она автоматом ликвидировалась . И при закрытии браузера соответственно тоже ликвидировалась автоматом.

Добавлено через 26 минут
Надо еще по ходу будет сделать отсечки по IP адресу, включить список адресов, с которых можно будет работать пользователю. Думаю это устранит большинство проблем с безопасностью.

0

Сообщение от Сергей1980 а как к примеру настроить сессию таким образом, чтобы если нет никакой активности пользователя к примеру 3 минуты она автоматом ликвидировалась

Если не ошибаюсь, настройки называются session.gc_maxlifetime и session.cookie_lifetime

Сообщение от Сергей1980 И при закрытии браузера соответственно тоже ликвидировалась автоматом.

Для большинства браузеров это так и работает, кроме Chrome.

1

Спасибо!
C chrome конечно пришлось повозиться, убрать галочку в настройках хрома можно конечно, но юзеров всех кто работает на хром не заставить же залазить в хром и проставлять в чекбоксе отменить автосохранение )

Как раз при помощи установки времени жизни сессии и удалось решить данный вопрос.

0