Ваня-Ваня
Guest
Ужас...
рушатся все представления о мире...
рушатся все представления о мире...
-
Юбилейный DevConfX пройдет 21-22 июня в Москве. Как всегда — Вы решаете, кто попадет в программу секции Backend — голосуйте за интересные доклады
Где и как устанавливается срок годности сессии?
- Автор темы Эдуард
- Дата начала
Эдуард
amator
Сделал, следуя этому совету, но сумлеваюсь, что правильно.
Поправьте, если что опять не так понял.
Пользователь ввел правильный логин и пароль. Регистрируется переменная сессии
session_register('valid_user');
Одновременно устанавливаются куки
valid_user=user
pass=password
Юзер обновляет страницу, требующую аутентификации, через 25 минут.
Проверяется, есть ли переменнаая сессии
if(!session_is_registered('valid_user')
Если нет, проверяем куки
if(HTTP_COOKIE_VARS['valid_user'] AND HTTP_COOKIE_VARS['pass'])
Подключаемся к БД и проверяем, соответствие.
Если найдено, регистрируем
session_register('valid_user');
и нормально обновляем страницу.
Если нет, перенаправляем на страницу ввода логина и пароля Header и т.д.
Правильно ли?
Логика верная, реализация - нет.
во-первых, через session_registar давно никто с сессиями не работает, чтобы не ловить потом глюки.
Как правильно работать с сессиями, написано здесь: PHP FAQ: Сессии. Подробное описание работы и объяснение механизма.
Во-вторых, писать в куки пароль - это не дело. где бы юзер ни сидел - хоть за периметром охраняемым.
Пиши md5 хэш и потом его сравнивай с хэшем в базе.
во-первых, через session_registar давно никто с сессиями не работает, чтобы не ловить потом глюки.
Как правильно работать с сессиями, написано здесь: PHP FAQ: Сессии. Подробное описание работы и объяснение механизма.
Во-вторых, писать в куки пароль - это не дело. где бы юзер ни сидел - хоть за периметром охраняемым.
Пиши md5 хэш и потом его сравнивай с хэшем в базе.