Куки и запоминание авторизированного пользователя

@babobka · Регистрация: 20.10.2010

Студворк — интернет-сервис помощи студентам

В общем, написал регистрацию и авторизацию. Все вроде исправно работает, но не запоминал, поэтому в каждом сценарии прописал setcookie('action', $login). Вроде работает и запоминает, но правильно ли я все сделал? Что нужно учесть?

DrobyshevAlex · 09.11.2012, 20:57

В сессиях нужно запоминать а не в куках.

А если я просто в браузере добавлю куку с логином, то сайт будет считать меня авторизованным?

@babobka · 09.11.2012, 21:02 **[ТС]**

Сообщение от DrobyshevAlex

В сессиях нужно запоминать а не в куках.

Это как?

DrobyshevAlex · 09.11.2012, 21:06

Ну вместо кук используйте сессии.
вверу страницы пишите

PHP
1
session_start();

А потом пользуетесь массивом $_SESSION

При авторизации записываете например

PHP
1
$_SESSION['login'] = $login;

А что бы проверить авторизован ли пользователь, проверяете

PHP
1
2
3
4
5
6
7
8
if (!empty($_SESSION['login']))
{
    // авторизован
}
else
{
    // не авторизован
}

Если нужно сделать выход юзеру, делаете так

PHP
1
unset($_SESSION['login']);

@babobka · 09.11.2012, 22:20 **[ТС]**

Так и работает, но без сеткуки не запоминает.
Поставил session_set_cookie_params(10800);

Добавлено через 15 минут
Так пойдет или все равно упорото?

Добавлено через 56 минут
Блин, ниче не работает. Проверил на другом браузере

@Dolphin · 09.11.2012, 22:24

а что именно не работает? Сессия слетает?

@babobka · 09.11.2012, 22:25 **[ТС]**

Авторизируюсь-закрываю браузер-открываю-не авторизирован

@Dolphin · 09.11.2012, 22:27

Если не ставишь время жизни "печеньки" то она равна жизни сессии, то есть до закрытия браузера или бездействия на сайте более 30 минут

@babobka · 09.11.2012, 22:28 **[ТС]**

session_set_cookie_params(10800); - это разве не отвечает за время жизни?

@Dolphin · 09.11.2012, 22:32

Сообщение от babobka

session_set_cookie_params(10800); - это разве не отвечает за время жизни?

Только она должна быть вызвана до

PHP
1
session_start();

@babobka · 09.11.2012, 22:33 **[ТС]**

пробую

DrobyshevAlex · 09.11.2012, 22:47

На сколько я знаю сессию нельзя сохранить при закрытии браузера.
Можно продлить при бездействии юзера, но при закрытии браузера она удалится.

Добавлено через 10 минут
Вообще можно в шифрованной куки хранить ИД юзера. Можно почитать тут и тут.
А можно просто гененрировать при входе уникальное число + добавлять соль и записывать это в специальное поле в таблице юзеров.
Например

PHP
1
$hash = sha2($user_id . $salt . $user_login . uniqid());

где salt - уникальная строка для каждого юзера хранящаяся тоже в бд, которая так же используется для хэширования пароля.
И вот эту куку при входе устанавливать каждый раз нову. и хранить в таблице юзера.
При открытии страницы проверяем куку, если есть, то ищим в бд такой hash если нет такого, то удаляем куку, если есть - авторизовываем юзера и уже работаем с сессией, но при авторизации лучше сразу сменить куку опять, что бы от хищения обезопаситься.
Это не защити от хищения на 100%, но если кто то сел за компьютер ваш и скопировал куку, то после следующего входа вашего она всё равно сменится, и старая кука будет не действительна.

@babobka · 09.11.2012, 22:53 **[ТС]**

PHP
1
2
setcookie("login", $_POST["login"], time()+9999999);
setcookie("password", md5($_POST["password"]), time()+9999999);

пойдет?

DrobyshevAlex · 09.11.2012, 23:00

Я написал как пойдёт, два варианта. При чём второй очень просто реализовать.
Вы же сами отдаёте hash пароля в сеть. Его любыми средстами защищают, что бы нельзя было получить, а если можно получить то это считается дырой на сайте.
Большинство паролей можно легко узнать.
Например у пользователя день рождение 1 го сентября 1990 года и пароль он выбрал 010990
В сеть вы отправите 2f575fe2fd465cbbe83cdea99da98762
Тепреь вбейте в гугл эту строку и получите открытый пароль по первой же ссылке.

Hash: 2f575fe2fd465cbbe83cdea99da98762, Plain: 010990

К тому же всё сильно зависит что вы с этими куками потом делать будите и как использовать в коде.

@babobka · 09.11.2012, 23:08 **[ТС]**

Мне лень думать. Напиши, пожалста, второй способ

magirus · 09.11.2012, 23:14

мне лень писать, думай сам.

Almiqui · 09.11.2012, 23:15

Сообщение от babobka

Мне лень думать

Надеюсь, и другим тоже будет лень. Писать...

@babobka · 09.11.2012, 23:15 **[ТС]**

А мне еще больше лень.

magirus · 09.11.2012, 23:19

тогда эта тема закрыта.
топикстартеру - идите во фриланс. (хотя это не принято, согласно правил форума.)
там ваше нежелание думать и писать возместят кодом за ваши кровные.
бесплатно делать за вас никто тут не обязан и не будет.

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Обработчик клика мыши в браузере ПК и касания экрана в браузере на мобильном устройстве 8Observer8 02.02.2026 Содержание блога Для начала пошагово создадим рабочий пример для подготовки к экспериментам в браузере ПК и в браузере мобильного устройства. Потом напишем обработчик клика мыши и обработчик. . .	Философия технологии iceja 01.02.2026 На мой взгляд у человека в технических проектах остается роль генерального директора. Все остальное нейронки делают уже лучше человека. Они не могут нести предпринимательские риски, не могут. . .	SDL3 для Web (WebAssembly): Вывод текста со шрифтом TTF с помощью SDL3_ttf 8Observer8 01.02.2026 Содержание блога В этой пошаговой инструкции создадим с нуля веб-приложение, которое выводит текст в окне браузера. Запустим на Android на локальном сервере. Загрузим Release на бесплатный. . .	SDL3 для Web (WebAssembly): Сборка C/C++ проекта из консоли 8Observer8 30.01.2026 Содержание блога Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а. . .
SDL3 для Web (WebAssembly): Установка Emscripten SDK (emsdk) и CMake для сборки C и C++ приложений в Wasm 8Observer8 30.01.2026 Содержание блога Для того чтобы скачать Emscripten SDK (emsdk) необходимо сначало скачать и уставить Git: Install for Windows. Следуйте стандартной процедуре установки Git через установщик. . . .	SDL3 для Android: Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 29.01.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами. Версия v3 была полностью переписана на Си, в. . .	Инструменты COM: Сохранение данный из VARIANT в файл и загрузка из файла в VARIANT bedvit 28.01.2026 Сохранение базовых типов COM и массивов (одномерных или двухмерных) любой вложенности (деревья) в файл, с возможностью выбора алгоритмов сжатия и шифрования. Часть библиотеки BedvitCOM Использованы. . .	SDL3 для Android: Загрузка PNG с альфа-каналом с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 28.01.2026 Содержание блога SDL3 имеет собственные средства для загрузки и отображения PNG-файлов с альфа-каналом и базовой работы с ними. В этой инструкции используется функция SDL_LoadPNG(), которая. . .

@babobka 1 / 1 / 0 Регистрация: 20.10.2010 Сообщений: 166 Записей в блоге: 1

	Куки и запоминание авторизированного пользователя 09.11.2012, 20:54. Показов 11356. Ответов 18 Метки нет (Все метки) В общем, написал регистрацию и авторизацию. Все вроде исправно работает, но не запоминал, поэтому в каждом сценарии прописал setcookie('action', $login). Вроде работает и запоминает, но правильно ли я все сделал? Что нужно учесть? 0

DrobyshevAlex 1178 / 1128 / 94 Регистрация: 31.05.2012 Сообщений: 3,060
	09.11.2012, 20:57
	В сессиях нужно запоминать а не в куках. А если я просто в браузере добавлю куку с логином, то сайт будет считать меня авторизованным? 0

@babobka 1 / 1 / 0 Регистрация: 20.10.2010 Сообщений: 166 Записей в блоге: 1
	09.11.2012, 22:20 [ТС]
	Так и работает, но без сеткуки не запоминает. Поставил session_set_cookie_params(10800); Добавлено через 15 минут Так пойдет или все равно упорото? Добавлено через 56 минут Блин, ниче не работает. Проверил на другом браузере 0

@Dolphin 814 / 797 / 201 Регистрация: 21.09.2012 Сообщений: 2,656
	09.11.2012, 22:24
	а что именно не работает? Сессия слетает? 0

@babobka 1 / 1 / 0 Регистрация: 20.10.2010 Сообщений: 166 Записей в блоге: 1
	09.11.2012, 22:25 [ТС]
	Авторизируюсь-закрываю браузер-открываю-не авторизирован 0

@Dolphin 814 / 797 / 201 Регистрация: 21.09.2012 Сообщений: 2,656
	09.11.2012, 22:27
	Если не ставишь время жизни "печеньки" то она равна жизни сессии, то есть до закрытия браузера или бездействия на сайте более 30 минут 0

@babobka 1 / 1 / 0 Регистрация: 20.10.2010 Сообщений: 166 Записей в блоге: 1
	09.11.2012, 22:28 [ТС]
	session_set_cookie_params(10800); - это разве не отвечает за время жизни? 0

@babobka 1 / 1 / 0 Регистрация: 20.10.2010 Сообщений: 166 Записей в блоге: 1
	09.11.2012, 22:33 [ТС]
	пробую 0

@babobka 1 / 1 / 0 Регистрация: 20.10.2010 Сообщений: 166 Записей в блоге: 1
	09.11.2012, 23:08 [ТС]
	Мне лень думать. Напиши, пожалста, второй способ 0

magirus Почетный модератор 28049 / 15785 / 983 Регистрация: 15.09.2009 Сообщений: 67,752 Записей в блоге: 78
	09.11.2012, 23:14
	Сообщение было отмечено как решение Решение мне лень писать, думай сам. 3

@babobka 1 / 1 / 0 Регистрация: 20.10.2010 Сообщений: 166 Записей в блоге: 1
	09.11.2012, 23:15 [ТС]
	А мне еще больше лень. 0

magirus Почетный модератор 28049 / 15785 / 983 Регистрация: 15.09.2009 Сообщений: 67,752 Записей в блоге: 78
	09.11.2012, 23:19
	тогда эта тема закрыта. топикстартеру - идите во фриланс. (хотя это не принято, согласно правил форума.) там ваше нежелание думать и писать возместят кодом за ваши кровные. бесплатно делать за вас никто тут не обязан и не будет. 0

Куки и запоминание авторизированного пользователя

Решение