Как лучше всего сделать авторизацию и распределение прав+защиту от несанкц. входа?

@Minastis · Регистрация: 31.08.2012

Студворк — интернет-сервис помощи студентам

Подскажите пожалуйста, каким образом лучше всего реализовать вход пользователя в систему?
Я вроде и пытался делать сессиями, с другой стороны, не до конца понял принцип работы сессий.
Также, даже если через jquery очищать страницу админки, если сессия не isset, к примеру, на правой кнопке-посмотреть исходный код все равно еще очень много инфы, которая вполне может помочь проникнуть в базу данных и там все "побить".

Так же я не понял принципа начала, остановки, уничтожения сессии и передачи переменных.
на одной странице сделал session_start(), после сделал привязку переменных в $_SESSION, после на другой странице ничего не доступно. Прописал на другой странице session_start(), теперь все доступно.
Но как так?
Выходит, злоумышленнику или даже нечаянно будет достаточно забыть нажать кнопку "выход из профиля", как при следующем заходе он или другой человек с этого компьютера получит легкий доступ к главной странице админки.
То же и с правами. Передавая их в сессиях, я не знаю, а вдруг они останутся навсегда в памяти?
session_destroy() на других страницах после логина так и вовсе говорят: сессии нету, нечего удалять.

Большая часть уроков по сессиям в гугле - непонятно написана а некоторые до сих пор используют session_register вместо $_SESSION.

KOPOJI · 13.09.2012, 10:44

Сообщение от Minastis

а вдруг они останутся навсегда в памяти?

сессия уничтожается при закрытии браузера

Сообщение от Minastis

а некоторые до сих пор используют session_register вместо $_SESSION.

да ну? они уже устарели и не работают

Сообщение от Minastis

на одной странице сделал session_start(), после сделал привязку переменных в $_SESSION, после на другой странице ничего не доступно. Прописал на другой странице session_start(), теперь все доступно.

для работы сессий необоходимо запустить их механизм -

PHP
1
session_start();

@Minastis · 13.09.2012, 11:03 **[ТС]**

Скажите пожалуйста, а как вытащить переменную из сессии без обновления страницы с логином?
Суть в том, что у меня с помощью ajax идет авторизация. В .php файле auth.php происходит проверка логина\пароля и после уже на главной странице login.php javascript выводит информацию из сессии.
Примерно так:

JavaScript
1
$('.hello').append('<?php echo($_SESSION['rights']) ?>');

Почему-то переменной нет. Но уже после нажатия на кнопку непосредственно "войти в панель", в панели переменные все есть.

KOPOJI · 13.09.2012, 11:17

даже здесь видно по подсветке что не так

Добавлено через 10 секунд
и так не получится

@Minastis · 13.09.2012, 14:01 **[ТС]**

Минутку... Кавычки?

crautcher · 13.09.2012, 15:26

Сообщение от Minastis

Минутку... Кавычки?

с кавычками всё норм , php воспренимает хтмл как просто текст , ему плевать там кавычка или буква или еще че :

PHP
1
sometext<?php echo($_SESSION['rights']) ?>sometext

далее сгенерировав страницу он отсылает ее браузеру:

JavaScript
1
$('.hello').append('somedata');

Сообщение от Minastis

Скажите пожалуйста, а как вытащить переменную из сессии без обновления страницы с логином?

создайте обработчик , откройте там сессию в начале скрипта и цепайте от туда аяксом что надо

KOPOJI · 13.09.2012, 15:28

crautcher, я имел в виду что в его примере append закроется перед rights

crautcher · 13.09.2012, 15:33

Сообщение от KOPOJI

crautcher, я имел в виду что в его примере append закроется перед rights

PHP
1
2
<? $some['rights'] = 'че это закроется ?' ?>
$('.hello').append('<?php echo($some['rights']) ?>');

output:

JavaScript
1
$('.hello').append('че это закроется ?');

KOPOJI · 13.09.2012, 16:00

Не по теме:

crautcher, но здесь то закроется :D

Сообщение от Minastis

JavaScript
1
$('.hello').append('<?php echo($_SESSION['rights']) ?>');

шуткую

Новые блоги и статьи Все статьи Все блоги /
Изучаю kubernetes lagorue 13.01.2026 А пригодятся-ли мне знания kubernetes в России?	Сукцессия микоризы: основная теория в виде двух уравнений. anaschu 11.01.2026 https:/ / rutube. ru/ video/ 7a537f578d808e67a3c6fd818a44a5c4/	WordPad для Windows 11 Jel 10.01.2026 WordPad для Windows 11 — это приложение, которое восстанавливает классический текстовый редактор WordPad в операционной системе Windows 11. После того как Microsoft исключила WordPad из. . .	Classic Notepad for Windows 11 Jel 10.01.2026 Old Classic Notepad for Windows 11 Приложение для Windows 11, позволяющее пользователям вернуть классическую версию текстового редактора «Блокнот» из Windows 10. Программа предоставляет более. . .
Почему дизайн решает? Neotwalker 09.01.2026 В современном мире, где конкуренция за внимание потребителя достигла пика, дизайн становится мощным инструментом для успеха бренда. Это не просто красивый внешний вид продукта или сайта — это. . .	Модель микоризы: классовый агентный подход 3 anaschu 06.01.2026 aa0a7f55b50dd51c5ec569d2d10c54f6/ O1rJuneU_ls https:/ / vkvideo. ru/ video-115721503_456239114	Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ФедосеевПавел 06.01.2026 Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ВВЕДЕНИЕ Введу сокращения: аналоговый ПИД — ПИД регулятор с управляющим выходом в виде числа в диапазоне от 0% до. . .	Модель микоризы: классовый агентный подход 2 anaschu 06.01.2026 репозиторий https:/ / github. com/ shumilovas/ fungi ветка по-частям. коммит Create переделка под биомассу. txt вход sc, но sm считается внутри мицелия. кстати, обьем тоже должен там считаться. . . .

@Minastis 0 / 0 / 0 Регистрация: 31.08.2012 Сообщений: 38

	Как лучше всего сделать авторизацию и распределение прав+защиту от несанкц. входа? 13.09.2012, 10:34. Показов 1271. Ответов 8 Метки нет (Все метки) Подскажите пожалуйста, каким образом лучше всего реализовать вход пользователя в систему? Я вроде и пытался делать сессиями, с другой стороны, не до конца понял принцип работы сессий. Также, даже если через jquery очищать страницу админки, если сессия не isset, к примеру, на правой кнопке-посмотреть исходный код все равно еще очень много инфы, которая вполне может помочь проникнуть в базу данных и там все "побить". Так же я не понял принципа начала, остановки, уничтожения сессии и передачи переменных. на одной странице сделал session_start(), после сделал привязку переменных в $_SESSION, после на другой странице ничего не доступно. Прописал на другой странице session_start(), теперь все доступно. Но как так? Выходит, злоумышленнику или даже нечаянно будет достаточно забыть нажать кнопку "выход из профиля", как при следующем заходе он или другой человек с этого компьютера получит легкий доступ к главной странице админки. То же и с правами. Передавая их в сессиях, я не знаю, а вдруг они останутся навсегда в памяти? session_destroy() на других страницах после логина так и вовсе говорят: сессии нету, нечего удалять. Большая часть уроков по сессиям в гугле - непонятно написана а некоторые до сих пор используют session_register вместо $_SESSION. 0

KOPOJI Почетный модератор 16844 / 6724 / 880 Регистрация: 12.06.2012 Сообщений: 19,967
	13.09.2012, 11:17
	даже здесь видно по подсветке что не так Добавлено через 10 секунд и так не получится 0

@Minastis 0 / 0 / 0 Регистрация: 31.08.2012 Сообщений: 38
	13.09.2012, 14:01 [ТС]
	Минутку... Кавычки? 0

KOPOJI Почетный модератор 16844 / 6724 / 880 Регистрация: 12.06.2012 Сообщений: 19,967
	13.09.2012, 15:28
	crautcher, я имел в виду что в его примере append закроется перед rights 0