שלום לכולם,
השבוע התחלתי ללמוד לעבוד עם session במקום עם cookies...
בניתי טופס התחברות, אך איני יודע אם בניתי אותו כראוי.
מצורף הטופס, אשמח אם תוכלו לתת לי עליו תגובה ועצות לשיפור.

הטופס:

קוד PHP:

<?
 session_start();
?>
<html dir="rtl"> 
 <head> 
 </head> 
 <body> 
  <div align="center"> 
   <? 
    switch ($_GET["page"]) { 
     case 'login': 
      $user = $_POST["user"]; 
      $pass = $_POST["pass"]; 
      $_SESSION['user'] = $user; 
      $_SESSION['pass'] = $pass;
      echo "התחברת בהצלחה<br /><br /><a href=login.php?page=page>עמוד 1</a><br /><a href=login.php?page=logout>התנתקות</a>";
      break; 
     case 'page':  
      if($_SESSION['user'] != "") {  
       echo "שם המשתמש שלך: {$_SESSION['user']}<br />הסיסמה שלך: {$_SESSION['pass']}<br /><a href=login.php?page=logout>התנתקות</a>";  
      } else {  
       echo "אינך מחובר<br /><a href=login.php>התחברות</a>";  
      }   
      break; 
     case 'logout':
      $_SESSION['user'] = ""; 
      $_SESSION['pass'] = "";
      echo "התנתקת<br /><br /><a href=login.php>התחברות</a>";
      break; 
     default: 
      if($_SESSION['user'] != "" && $_SESSION['pass'] != "") {
       echo "אתה כבר מחובר<br /><br /><a href=login.php?page=page>עמוד 1</a><br /><a href=login.php?page=logout>התנתקות</a>";
      } else {
       echo "<form method='post' action='login.php?page=login'><table width='300' align='center'> 
       <tr><td width='35%' colspan='2' align='center'><bold>התחברות</bold></td></tr> 
       <tr><td width='35%'>שם משתמש:</td><td><input type='text' name='user' /></td></tr> 
       <tr><td width='35%'>סיסמה:</td><td><input type='password' name='pass' /></td></tr> 
       <tr><td colspan='2' align='center'><input type='submit' name='send' value='שלח'></tr> 
       </table></form>"; 
      }
      break; 
    } 
   ?> 
  </div> 
 </body> 
</html>

לא שומרים אף פעם שם משתמש או סיסמה בSESSIONS, עושים טבלה בSQL של SESSIONS ואז הSESSION שומרים ID מסויים שאתה מחולל.....

וככה איך שאתה עשית אתה מתחבר עם איזה שם משתמש וסיסמה שבא לך, ואין לזה משמעות בכלל...

בcase של login לא רשמתי את זה, אבל לקחתי את זה בחשבון. יש טבלה של המשתמשים והוא בודק שהפרטים שהוזנו אכן נכונים ורק אם כן הוא בונה את הsession.

זה בסדר לעשות ככה?

ציטוט:

במקור נכתב על ידי המחפש בcase של login לא רשמתי את זה, אבל לקחתי את זה בחשבון. יש טבלה של המשתמשים והוא בודק שהפרטים שהוזנו אכן נכונים ורק אם כן הוא בונה את הsession. זה בסדר לעשות ככה?

עשית קצת שטויות ודברים מיותרים אבל לא נורא.
למשל מה הקטע ב

קוד PHP:

 $user = $_POST['user'];
$pass = $_POST['pass'];
$_SESSION['user'] = $user;
$_SESSION['pass'] = $pass; 


למה לא פשוט הכנסת בלי לעשות את המעבר הזה?
וגם כמו שאמרתי כבר אסור להכניס את הסיסמה לSESSION זה לא טוב...
ולמשל למה עשית לכל הטופס ECHO חחחח.....

קיצר אם אתה עושה עם טבלה והכל אז בסדר, רק אל תאכסן שם משתמש או סיסמה בSESSION, אלא ID מסויים שאתה מחולל, למשל אתה יכול לעשות

קוד PHP:

<?
        $uniq_id = md5(uniqid(mt_rand(0,9999)).microtime());
        $_SESSION['somename'] = $uniq_id;
?>

ואז לשלוף מהטבלה לפי הID הזה איזה משתמש מחובר......

איזו בעיה יש עם שמירה של הסיסמא בSESSION?
אני לא רואה צורך בלשמור את הסיסמא שם, אבל אני לא רואה מה הבעיה בזה?
בשמירה של הSESSION_ID במסד נתונים ואז משיכה של הנתונים משם אתה בעצם מבצע את הפעולה של PHP וניהול הSESSION שלו בעצמך... אז מה הטעם?

deano- שאלה טובה למה עשיתי את המעבר השטותי הזה לעוד משתנה.
ולא הבנתי את הקוד שנתת, תוכל להסביר עליו קצת?

GreenBerret- תוכל קצת להסביר על עבודה נכונה מול session מכיוון שאני בא יותר מהתחום של הcookies ואני רוצה לנסות לעבוד עם session.

תודה מראש

ציטוט:

במקור נכתב על ידי GreenBerret איזו בעיה יש עם שמירה של הסיסמא בSESSION? אני לא רואה צורך בלשמור את הסיסמא שם, אבל אני לא רואה מה הבעיה בזה? בשמירה של הSESSION_ID במסד נתונים ואז משיכה של הנתונים משם אתה בעצם מבצע את הפעולה של PHP וניהול הSESSION שלו בעצמך... אז מה הטעם?

א) זה חסר טעם
ב) זה לא מאובטח

ולשאלתך, מה שכתבתי זה כדי לחולל סטרינג ייחודי לשים בSESSION ולשמור גם בטבלה, ולפי הסטרינג הראדנומלי אתה שולף איזה יוזר מחובר

הייתי שמח לקבל משהו קצת יותר מוחשי (קוד או משהו כזה) שיראה לי קצת יותר איך לעבוד עם session בצורה הטובה ביותר.

זה חסר טעם, אני מסכים.

מה לא מאובטח בזה?
או יותר נכון, מה יותר מאובטח בלשמור את הנתונים במסד נתונים ואז לקרוא להם כל פעם עם SESSION_ID? הרי PHP בכל מקרה נותן ללקוח רק את SESSION_ID והלקוח מחזיר לו את זה בכל קישור ואז אתה מקבל את מה שמשוייך לSESSION_ID...

תוכל קצת להסביר על השימוש הנכון בsession?