Главная > Windows 7

Setcookie - Посылает cookie. Работа с файлами сессий и cookies в PHP и MYSQL Php установка cookie

В сегодняшнем уроке мы поговорим о работе с cookie в PHP. Начнём с того, что же это такое, для чего это нужно и почему оно вообще появилось.

Для чего нужны cookie

Как мы с вами уже знаем, в PHP мы можем работать с GET- и POST-запросами. Они позволяют нам передавать серверу данные, чтобы как-то повлиять на работу кода. Мы можем передать скрипту логин и пароль, он их проверит и разрешит нам доступ к какой-либо информации. Однако, это не позволит создать сессию между нами и сервером. То есть сервер не может нас «запомнить», и каждый раз, как мы хотим сказать что это мы, придется отправлять отдельный новый запрос с логином и паролем.

В качестве решения придумали cookie. Это такие записи с типом ключ-значение, типа массива в PHP, только хранятся они в браузере у пользователя сайта. Для каждого сайта cookie хранятся отдельно. Каждый раз, когда пользователь обращается с запросом на сайт, браузер проверяет наличие этих записей для данного сайта. И если они имеются, то он отправляет их в заголовке каждого запроса к этому сайту.

Откуда берутся cookie

Cookie создаются в браузере по «просьбе» сервера. В какой-то момент мы решаем, что нужно в браузере посетителя создать cookie с каким-то значением. Для этого нужно чтобы сервер передал в ответе клиенту специальный заголовок, в котором указано, какую запись нужно создать в браузере для данного сайта.

Всё это происходит в фоне и не заметно для пользователя. По этому принципу работает авторизация на любом сайте. В простейшем случае, после того как вы ввели логин и пароль на сайте, сервер проверяет, верны ли они. И если да, то сервер может попросить браузер сохранить эти данные в cookie и при каждом запросе отправлять их ему.

То есть сервер примерно говорит: «Эй, браузер, создай запись для меня с ключом “login” и значением “admin”, и ещё одну с ключом “password” и значением “123”». После этого браузер при любом запросе к серверу начинает отправлять дополнительные данные типа:

Login: admin password: 123

После этого в других местах сайта, где нужна авторизация, теперь можно будет проверить эти данные из cookie, не заставляя пользователя заполнять форму заново. И если они являются верными логином и паролем, то давать пользователю доступ к чему-либо.

Про время жизни

При этом у cookie есть TTL (Time To Live – время жизни). То есть эти записи могут быть временными. Это время жизни так же указывается сервером во время установки cookie в браузер. Благодаря этому можно сделать так, чтобы сессия длилась пол часа. А после этого времени пользователю надо будет авторизоваться снова. Наверняка вы замечали это в действии на многих сайтах.

Как работать с cookie в PHP

Итак, мы в общих чертах разобрались с тем, как работают cookie. Давайте теперь посмотрим, как с ними можно работать в языке PHP.

Давайте создадим в нашем проекте файл с именем viewCookies.php. Поместим в него следующий код.

Как вы уже должны были догадаться, $_COOKIE - это еще один глобальный массив в PHP, аналогично массивам $_GET и $_POST . Только в нём хранятся все cookie, которые были отправлены браузером в рамках текущего запроса.

Давайте посмотрим на работу данного скрипта, открыв в браузере страницу: http://myproject.loc/viewCookies.php

Как мы видим, в данный момент этот массив пуст. Давайте же его наполним:) Для этого нам нужно установить какую-нибудь cookie в браузер. В PHP для этого используется функция setcookie($name, $value, $ttl, $path)

Передаваемые параметры:

  • $name – название cookie
  • $value – её значение
  • $ttl – время жизни. Если указать 0, то cookie будет установлена навсегда (пока её не удалят).
  • $path – путь в адресной строке. Если задать "/", cookie будут доступны из всех директорий сайта. Например, и в http://myproject.loc/ и в http://myproject.loc/posts/ . Если задать "/posts/", cookie будут доступны только из директории http://myproject.loc/posts/ и всех ее поддиректорий (например, http://myproject.loc/posts/new/). По умолчанию значением является текущая директория, в которой cookie устанавливается. Если мы хотим, чтобы cookie была доступна на всём сайте, то нужно устанавливать это значение в "/".

Есть еще несколько параметров, о них вы можете прочитать в официальной документации .

А теперь давайте попробуем эту функцию в деле. Создадим файл setCookies.php и запишем в него следующий код:

После этого перейдём по адресу http://myproject.loc/setCookies.php , где увидим пустую страницу. Как мы уже говорили, работа с cookie не видна пользователю.

Однако, эту работу всегда можно увидеть в консоли разработчика Google Chrome. Давайте откроем её (нажатием F12), перейдём во вкладку Network, обновим страницу в браузере и найдём её в списке загруженных данных (она там одна).

Нажмем на эту запись и в открывшемся справа окне выберем вкладку Headers. Здесь, в секции Response Headers мы можем видеть заголовок Set-Cookie с указанными нами данными.

Таким образом, cookie были успешно установлены в браузере. Давайте теперь перейдём на нашу страничку, выводящую массив $_COOKIE - http://myproject.loc/viewCookies.php

Как мы видим, теперь на сервер передаются cookie, ранее установленные в браузере. Увидеть их можно и в запросе, посмотрев в консоли разработчика секцию Request Headers.

Если вам нужно посмотреть все cookie, которые имеются в браузере для данного сайта - можно посмотреть их в той же консоли разработчика Google Chrome. Для этого перейдем во вкладку Application, выберем в левом списке пункт Cookies, а внутри него наш сайт.

Все cookie будут представлены в виде удобного списка.

Что еще нужно знать про cookie

И в заключение данного урока нужно добавить, что cookie устанавливаются с помощью заголовка в ответе сервера по протоколу HTTP. Протокол HTTP устроен таким образом, что заголовок должен всегда идти перед данными, и никак иначе. Таким образом, функция setcookie и любые другие функции в PHP, изменяющие заголовок в HTTP-ответе, должны вызываться до любого вывода данных.

Можно сначала задать cookie, а затем вывести текст.

Всё прекрасно отработает.

Но нельзя вывести текст (являющийся телом HTTP-ответа), а затем пытаться установить cookie.

Как мы видим, это приведет к ошибке. Так устроен протокол HTTP. Сначала - заголовок, затем - тело. Только так и никак иначе.

Установка нескольких cookie

Нет ничего проще, чем установить несколько cookie. Для этого нужно просто несколько раз вызвать функцию setcookie.

Они успешно будут переданы клиенту.

Пример полноценного взаимодействия с пользователем через cookie мы рассмотрим в следующем уроке. А пока - за домашку.

Всем привет!

Я снова в строю! В последнее время перемены в жизни вынуждают частенько отдаляться от блога, но тем не менее я здесь и никуда не ухожу! Скоро будет ряд очень полезных и познавательных уроков по заработку! Не пропустите! А пока я расскажу о том, как в php работать с куками. Как можно легко создать, удалить или обновить куки в php?

В последующих статьях мы рассмотрим работу куки в WordPress. А пока для общего развития разберем само понятие куки.

Не буду писать банальщину о том, что куки это в переводе печеньки и все такое. Информация эта, на мой взгляд, совершенно бесполезная. Скажу иначе, куки - это какая-то информация, которая хранится в Вашем браузере.

Например, Вы решили проголосовать в опросе. Далее Вы еще раз захотели проголосовать, но вместо принятия голоса вылезает сообщение: "Вы уже голосовали". Казалось бы, на сайте мы не регистрировались, откуда информация, что мы уже голосовали?

Все дело в куках. При голосовании, Вам в браузер добавляется небольшой файлик с информацией о том, что Вы уже голосовали. И при новом голосовании, скрипт на сервере проверяет, есть ли у Вас такой файлик. Если есть - значит Вы уже голосовали. Все просто.

Как создать куки в php?

Создаются куки в php благодаря функции setcookie . Эта функция принимает в себя следующие параметры:

setcookie ("Имя" , "Значение" , "Срок" , "Путь" , "Домен" , "Защита" ) ;

  • Обязательный здесь только один параметр - "Имя".
  • "Значение" указывается значение куки, как уже все догадались.
  • Срок - сколько времени куки будут работать? После окончания срока действия, кука автоматически будет удалена. Срок может быть бессрочным, в случае, если мы не указываем значение "срок". Срок устанавливается только в секундах!
  • Путь - из какого каталога будет доступна кука. (обычно не указывается, и доступна из всех каталогов)
  • Домен - Домен указывается автоматически. В случае, если доступ к куки нужно получать и на поддоменах, можно указать ".сайт". В таком случае кука будет доступна на всех сайтах с адресами: name.сайт
  • Защита - если написано TRUE, тогда куки передаются по шифрованному соединению (ssl).

Создание куки на PHP

Теперь если посмотреть в браузере (я использую mozilla), то мы увидим куку в действии:

Как видите, куки установились ровно на 1 день, с нужным, нам, названием, и нужным значением.

Как обновить куки php?

Предположим нам нужно обновить значение куки. Т.е. название будет то же, но значение или срок действия надо изменить. В таком случае нам опять же понадобится функция setcookie .

Операция ничем не отличается от операции создания куков. Точно так же пишем похожий код, но с измененными данными:

Теперь посмотрим, что содержится в браузере:

Как видите, обновление куки произошло успешно!

Как прочитать\получить куку php?

То, что в браузере отображается кука, это хорошо, но мы ведь ее создаем, чтобы впоследствии использовать в наших скриптах. Так как же получить куку? Для этого существует глобальный массив кук $_COOKIE , в котором находятся вообще все созданные куки. Обратиться к ним легко - достаточно знать имя.

Теперь кука удалится!

Одно важное замечание, о котором никто не говорит. Когда я только начинал изучать программирование, я удалил куку этим способом. Зашел в браузер - кука осталась. Перерыл все форумы - такая проблема часто встречается, но все отвечают мол: "Хм, не знаю, у меня работает". А причина вот в чем - кука удаляется, но не из файлов пользователя. Там она остается. И открывая браузер, Вы ее видите, но если мы обратимся к ней посредством $_COOKIE["wpguru"] , то в результате будет 0. Вот так можно легко проверить, удалена ли кука.

На этом у меня все, в ближайшее время будут выходить еще статьи. Скорей всего я опишу в следующей статьи, какие планы ждут блог, и подробно расскажу про серию статей о заработке. Все будет в онлайн-режиме, т.е. я зарабатываю, и пишу статью. А не просто теорию вещаю.

Так что ждите.

До скорых встреч!

Cookie - это набор данных, который создаётся Web-сервером и который отсылается при каждом обращении к серверу. Cookie хранятся в браузере пользователя. Как правило, cookie используется для: сохранения различных настроек, уникальных для пользователя, аутентификации пользователя, различной статистики и других подобных вещей. И о работе с cookie в PHP мы и поговорим в этой статье.

Начнём с простейших вещей: с записи cookie в браузер пользователя . Для этого существует функция setcookie() :

setcookie("Name", "Value");
?>

После запуска скрипта, Вы сможете посмотреть cookie . Посмотреть их можно следующим образом: либо поискать в настройках браузера, либо поискать прямо на жёстком диске, где хранятся cookie Вашего браузера, либо (самый простой способ) ввести в адресной строке: "javascript:document.cookie ". Только вводите в той же вкладке, в которой Вы запускали скрипт, потому что браузеры отделяют cookie одного сайта от другого.

Теперь встаёт вопрос: "Как вывести cookie? ". Выводятся они с помощью массива $_COOKIE :

echo $_COOKIE["Name"];
?>

В результате, Вы увидите "Value ". Как видите всё элементарно.

И давайте сейчас с Вами решим такую задачу: если пользователь авторизован на сайте, то поздороваться с ним, иначе вывести форму входа. Причём, если данные, введённые в форму, неправильные, то вывести соответствующее предупреждение. Реализация выглядит следующим образом:

function showForm() {
$string = "

";
$string .= "";
$string .= "";
$string .= "
";
$string .= "";
$string .= "";
$string .= "
";
$string .= "";
$string .= "
";
return $string;
}
function check($login, $pass) {
if (($login == "Admin") && ($pass == md5("123456"))) return true;
else return false;
}
if (isset($_POST["log"])) {
$login = $_POST["login"];
$pass = md5($_POST["pass"]);
if (check($login, $pass)) {
setcookie("login", $login);
setcookie("pass", $pass);
}
else echo "Неверные данные";
}
?>




$login = $_COOKIE["login"];
$pass = $_COOKIE["pass"];
if (check($login, $pass)) echo "Здравствуйте, $login";
else echo showForm();
?>

Код достаточно прозрачный, однако, данную статью могут читать и новички, поэтому давайте этот код разберём более подробно. Вначале мы пишем две функции: одна для вывода формы входа, а вторая функция возвращает true , если данные корректны (то есть, если логин - "Admin ", а пароль - "123456 "), иначе возвращает false . Обратите внимание на $_SERVER["SCRIPT_NAME"] . Данная константа содержит путь к текущему файлу. То есть мы хотим, чтобы обработчик формы (значение атрибута action ) был этот же файл.

Далее мы проверяем: была ли отправлена форма (существует ли переданное значение "log "). Если существует, значит, форма была отправлена и начинаем проверять полученные данные. Обратите внимание, что пароль мы пропускаем через функцию md5() , чтобы не хранить пароль в cookie в открытом виде. Используя функцию check() мы проверяем: верны ли данные. Если данные верны, то записываем их в cookie , иначе выводим строку: "Неверные данные ".

Далее мы начинаем выводить HTML-теги . Обратите внимание, что мы не можем использовать функцию setcookie() после того, как вывели что-то в браузер. То есть нельзя, например, вывести HTML-теги , а потом воспользоваться функцией setcookie() , иначе возникнет ошибка. И, поверьте, её очень многие новички допускают.

После вывода HTML-тегов мы приходим к моменту, когда надо проверять cookie . Мы считываем их, а затем проверяем. Если они верные, то здороваемся с пользователем, иначе выводим форму входа.

Вот и весь скрипт, как видите, разобраться можно. Однако, он имеет один изъян, связанный с тем, что мы выводим "Неверные данные " до тега " ". Поэтому домашнее задание: исправить эту ошибку, чтобы не было нарушения валидности HTML-кода . Сделать это очень просто, однако, будет крайне полезно, так как Вам придётся разобраться в этом коде, а, следовательно, разобраться с тем, как работать с cookie в PHP . А использовать cookie в PHP приходится очень часто, и я постараюсь в следующих статьях закрепить Ваши знания о них.

Откуда возник термин "cookie" никто достоверно не знает, хотя считается, что во времена зарождения Unix-систем где-то использовалось словосочетание Magic Cookies. Имелись в виду "квитанции" (token, ticket), которыми обменивались программы.

Cookie является решением одной из наследственных проблем HTTP протокола (HyperText Transfer Protocol). Эта проблема заключается в непостоянстве соединения между клиентом и сервером, как при FTP или Telnet сессии, т.е. для каждого документа (или файла) при передаче по HTTP протоколу посылается отдельный запрос. Включение cookie в HTTP протокол дало частичное решение этой проблемы. Иначе говоря, транзакция завершается после того, как браузер сделал запрос, а сервер выдал соответствующий ответ. Сразу после этого сервер "забывает" о пользователе и каждый следующий запрос того же пользователя считает новым пользователем.

Используя cookie, можно эмулировать сессию по HTTP протоколу. Коротко принцип эмуляции сессии таков: на первом запросе выдается соотвествующее значение cookie, а при каждом последующем запросе это значение читается из переменной окружения HTTP_COOKIE и соответствующим образом обрабатывается.

Простой пример: есть форма, где пользователю предлагается указать свое имя, из нее вызывается скрипт, прописывающий значение cookie в браузер пользователя. При каждом последующем заходе на основе анализа значения cookie из браузера пользователя на странице появляется либо именное приветствие (если есть установленное значение cookie), либо первоначальная форма с запросом имени пользователя (если значение cookie не установлено).

Итак,приступим к практике:

1. Задание cookie с помощью PHP

Для задания этой функции в языке php есть оператор:
setcookie () . Самое приятное,сто функция setcookie() воспринимает до шести аргументов, в зависимости от того, как вы собираетесь управлять значениями cookie и кто будет считывать ее значения.

Простейший способ установить cookie таков:

Setcookie("name", "bret");

Затем, для каждой последующей страницы на Вашем сайте, просматриваемой в течение данной сессии (пока пользователь не покинет сайт) переменная $name будет иметь значение "bret" и его можно легко прочитать средствами PHP. Этот тип cookie известен как cookie-сессия, поскольку значение сохраняется в течение пользовательской сессии.

Если Вы хотите, чтобы значение cookie запоминалось браузером после того, как пользователь закончит сессию, Вы должны передать функции setcookie() третий параметр - дату истечения срока действия cookie. Поскольку PHP сформировался в основном в среде Unix, Вы должны представить время истечения срока действия cookie как число секунд, прошедших с 1 января 1970 г. Если Вы имеете опыт программирования для Unix, это не покажется Вам удивительным. Но, если Вы программировали только в среде Windows или Macintosh, Вы, может быть, удивитесь, что за чокнутый народ эти Unix-оиды.

Но не бойтесь. PHP имеет очень удобную функцию, mktime() . Вы указываете ей в качестве параметров (в указанном порядке) час, минуту, секунду, месяц, день и год, задающие тот момент времени, который Вы хотите представить в воспринимаемом UNIX формате, и mktime() возвращает Вам число секунд, прошедших с 1 января 1970 г. до указанного момента времени. Например, если Вы хотите, чтобы срок действия cookie истек 1 января 2000 г., Вы записываете:

Если Вы хотите изменить значение cookie на новое, Вы можете просто переписать его (ее?) значение. Таким образом, даже если браузер уже посылал значение cookie серверу на одной из предыдущих страниц, вполне возможно сообщить серверу, что в действительности Вас зовут "jeff."

Обратите внимание на то, что при этом не меняется значение переменной $name . Оно устанавливается при загрузке страницы. Если Вы хотите чтобы значение переменной изменялось синхронно с изменением значения cookie, Вы должны изменить код следующим образом:

Следующие два параметра функции setcookie() позволяют Вам задать путь и имя домена того, кто может прочитать значение Вашего cookie. По умолчанию только страницы, расположенные в том же каталоге или ниже в структуре подкаталогов того сервера, который установил cookie, могут прочитать его (ее??) значение. Это делается из соображений безопасности. Однако, если у Вашего сервера два доменных имени: "www.domain.com" и "other.domain.com", и Ваш экаунт позволяет Вам обслуживать страницы из каталога ~/myhome, Вы должны вызывать функцию setcookie() следующим образом:

Последний параметр функции setcookie() , который мы никогда не использовали, требует, чтобы значение cookie передавалось только на те Web-сервера, которые испольуют безопасный протокол соединения, такой как SSL. Если Вам это нужно, то задайте для шестого параметра значение 1.

Удалить cookie тоже очень просто, достаточно передать функции setcookie() имя cookie и PHP сделает все остальное:

В заключение нужно сделать еще одно замечание, касающееся использования cookie. В силу того, как организована обработка cookies в протоколе HTTP, необходимо установить значения всех cookie до вывода какого-либо текста. Если сделать наоборот, PHP выдаст Вам предупреждение и значение cookie не будет послано. Вот так правильно:

А так - нет:

2. Задание cookie с помощью JavaScript

Можно задавать значение cookie, используя язык JavaScript. Единственный недостаток этого способа заключается в том, что не все браузеры его поддерживают. Ниже приведены примеры функций JavaScript, написанные Алексеем Александровым для скрипта "Органайзер".

Пример. Функция установки значения cookie

// name - имя cookie // value - значение cookie // - дата окончания действия
cookie (по умолчанию - до конца сессии) // - путь, для которого cookie действительно
(по умолчанию - документ, в котором значение было установлено) // - домен, для которого cookie действительно
(по умолчанию - домен, в котором значение было установлено) // - логическое значение, показывающее требуется ли
защищенная передача значения cookie function setCookie(name, value, expires, path, domain, secure) { var curCookie = name + "=" + escape(value) + ((expires) ? "; expires=" + expires.toGMTString() : "") + ((path) ? "; path=" + path: "") + ((domain) ? "; domain=" + domain: "") + ((secure) ? "; secure" : "") if (!caution || (name + "=" + escape(value)).length <= 4000) document.cookie = curCookie else if (confirm("Cookie превышает 4KB и будет вырезан!")) document.cookie = curCookie }

Пример. Функция чтения значения cookie

Возвращает установленное значение или пустую строку, если cookie не существует.

// name - имя считываемого cookie function getCookie(name) { var prefix = name + "=" var cookieStartIndex = document.cookie.indexOf(prefix) if (cookieStartIndex == -1) return null var cookieEndIndex = document.cookie.indexOf
(";", cookieStartIndex + prefix.length) if (cookieEndIndex == -1) cookieEndIndex = document.cookie.length return unescape(document.cookie.substring
(cookieStartIndex + prefix.length, cookieEndIndex)) }

Пример. Функция удаления значения cookie

Принцип работы этой функции заключается в том, что cookie устанавливается с заведомо устаревшим параметром expires, в данном случае 1 января 1970 года.

// name - имя cookie // - путь, для которого cookie действительно // - домен, для которого cookie действительно function deleteCookie(name, path, domain) { if (getCookie(name)) { document.cookie = name + "=" + ((path) ? "; path=" + path: "") + ((domain) ? "; domain=" + domain: "") + "; expires=Thu, 01-Jan-70 00:00:01 GMT" }

3. Задание cookie с помощью Perl

Самый мощный и гибкий способ управления документами с использованием механизма cookie - с помощью CGI-скриптов. Задание значения cookie на Perl будет выглядеть следующим образом:

Print "Content-type: text/htmln"; print "Set-Cookie: username=aaa13; expires=Friday,
31-Dec-99 23:59:59 GMT; path=/; domain=www.citforum.ru;nn";

Скрипт при выдаче результатов работы генерирует HTTP заголовок:

Content-type: text/html Set-Cookie: "username=aaa13; expires=Friday,
31-Dec-99 23:59:59 GMT; path=/; domain=www.webscript.ru;"

А теперь о грусном...

Ограничения

Клиент (браузер) имеет следующие ограничения для cookies:

  • всего может храниться до 300 значений cookies
  • каждый cookie не может превышать 4Кбайт
  • с одного сервера или домена может храниться до 20 значений cookie

Если ограничение 300 или 20 превышается, то удаляется первая по времени запись. При превышении лимита объема в 4Кбайт корректность значения cookie страдает - отрезается кусок записи (с начала этой записи) равный превышению объема.

В случае кэширования документов, например, proxy-сервером, поле Set-cookie HTTP заголовка никогда не кэшируется.

Форум портала PHP . SU

Безопасность является важной составляющей успеха каждого сайта. Тем не менее, неправильное повышение уровня безопасности может привести к увеличению затрат и общему раздражению пользователей. В данном руководстве мы рассмотрим общие проблемы, которые встречаются при работе с файлами сессий и cookies.

Файлы Cookie

Файлы Cookies - способы идентификации пользователя сайтом. Например, сайт создаёт файл cookie с именем: “favorite_color” и значением: “red”. С этого момента всякий раз при посещении сайта будет загружаться файл cookie, и устанавливать, что ваш любимый цвет - красный (“favorite_color” is “red). Это довольно удобно, так как пользователю не приходится каждый раз регистрироваться в системе при посещении сайта. Этот метод используется также в опции “Remember Me”, которая встречается на многих сайтах. Однако этот способ также может создать серьёзные бреши в системе безопасности сайта.

Один пример не подтверждает, какой именно файл cookie вернётся на ваш сайт. После несложного поиска я нашёл веб-сайт со сценарием панели пользователя. Данный сценарий вывел все мои данные входа в систему в файлах cookie и загружал значения каждый раз во время выполнения действия. Например, если я оставлял комментарий, система выдавала любое из моих имён из переменной имён файла cookie. Далее, используя расширение firebug и пару других устройств, я мог не только просматривать эти файлы, но также и редактировать их. Таким образом, всякий раз, когда я редактировал файл cookie содержащий моё имя, сайт не подтверждал правильность имени, а выводил данные. Также я мог изменять свой ID. В конечном итоге я смог найти ID администратора (001) и получить доступ на правах администратора.

Сессии

Сессии - это переменные для идентификации пользователей, хранящиеся на вашем сервере. В отличие от файлов cookie, пользователи не могут изменять их напрямую, но в то же время риск ещё существует. Есть две основные угрозы для сессий: фиксация сессии и перехват сессии.

Фиксация сессии

Фиксация сессии происходит, когда пользователи подключаются к уже установленной сессии и загружают туда свою информацию. Посредством входа в уже установленную сессию злоумышленник может посетить данную сессию и получить информацию, введённую пользователями. Простой пример - пройти по ссылке на веб-сайт с уже установленным идентификатором сессии (session ID). Например, http://www.example.com/?PHPSESSID=1234. Теперь для просмотра вашей информации злоумышленник использует тот же идентификатор PHPSESSID.

Перехват сессии

Перехват сессии - второй вид атаки, от которого гораздо сложнее защититься. В этом случае злоумышленник может завладеть вашим идентификатором сессии посредством анализа пакетов (данных) и иных всевозможных способов. Например, злоумышленник, подключённый к вашей сети, может фильтровать все ваши данные, посылаемые на маршрутизатор. После получения вашего идентификатора сессии злоумышленник может посетить данный идентификатор для получения доступа ко всей вашей информации.

Эффективное использование сессий

В данном руководстве не описывается процесс кодирования сценария регистрации. Однако я постараюсь показать, как сделать более безопасным ваш текущий сценарий регистрации.

В целом использование сессий безопаснее использования файлов cookie. Это объясняется тем, что пользователи не могут изменять значения сессий так же легко, как и значения файлов cookie. Вот почему мне нравится хранить все переменные пользователей в переменных сессий. Другой важный момент - никогда не доверять вводу данных пользователями. Всегда сверяйте информацию пользователя со значениями в базе данных MYSQL и соответственно затем вывод на сессию. Рассмотрите вариант внесения изменений в регистрационную функцию наподобие следующей функции:

function login($username, $password)
$sql = mysql_query("SELECT id, user_level FROM users WHERE password = "" . $password . "" AND username = "" . $username . "" LIMIT 1");
// If there are no matches then the username and password do not match
if($sql === false)
{
return false;
}
else
{
while($u = mysql_fetch_array($sql))
{
session_regenerate_id(true);
$session_id = $u;
$session_username = $username;
$session_level = $u;

$_SESSION["user_id"] = $session_id;
$_SESSION["user_level"] = $session_level;
$_SESSION["user_name"] = $session_username;
$_SESSION["user_lastactive"] = time();
return true;
}
}

Давайте проанализируем данный код. Он запрашивает имя пользователя и пароль и проверяет, существует ли пользователь, у которого совпадают оба этих критерия. Если результат отсутствует, образуется неверная комбинация имя пользователя/пароль и выдается ошибка. В противоположном случае создаются переменные сессии: user_id, user_level, user_name, и user_lastactive. Эти значения заполняются данными из списка mysql.

Возможно, у вас возникнет вопрос, что означает функция “session_regenerate_id(true)”. Ранее мы говорили о фиксации сессии. Это решение предназначено для защиты от данного типа атаки. Функция создаёт новый идентификатор сессии при каждом входе пользователя в систему. Таким образом, если пользователь щёлкнет по ссылке с установленным значением сессии, будет создан новый идентификатор сессии, а информация о пользователях будет добавлена в новую, а не старую сессию. При прохождении верного параметра (true) через данную функцию удаляет старую сессию и стирает всю информацию.

Написание функции “Remember Me”

Файлы cookie или файлы сессии не должны содержать паролей пользователей. Это очень важно, так как в случае перехвата файла сессии или cookie злоумышленник может получить полный контроль над всеми учётными записями. Известно, что многие пользователи используют один и тот же пароль в различных учётных записях, и это позволит злоумышленнику получить контроль над учётными записями пользователей на других сайтах. Как можно выйти из этого затруднительного положения?

Решение данной проблемы - ключ санкционирования доступа (auth_key). Ключом санкционирования доступа может быть связка из имени пользователя, пароля и произвольного набора символов, которые объединяются и зашифровываются. У каждого пользователя должен быть свой уникальный ключ санкционирования доступа. Таким образом, при установке файла cookie значение устанавливается на ключ санкционирования доступа. После этого происходит сравнение значения ключа санкционирования доступа со значением в списке MySQL, которое вы добавите. Давайте посмотрим, как изменится функция входа пользователей в систему.

account_active = true; // Check if user wants account to be saved in cookie if($remember) { // Generate new auth key for each log in (so old auth key can not be used multiple times in case // of cookie hijacking) $cookie_auth= rand_string(10) . $username; $auth_key = session_encrypt($cookie_auth); $auth_query = mysql_query("UPDATE users SET auth_key = "" . $auth_key . "" WHERE username = "" . $username . """); setcookie("auth_key", $auth_key, time() + 60 * 60 * 24 * 7, "/", "example.com", false, true) } // Assign variables to session session_regenerate_id(true); $session_id = $u; $session_username = $username; $session_level = $u; $_SESSION["user_id"] = $session_id; $_SESSION["user_level"] = $session_level; $_SESSION["user_name"] = $session_username; $_SESSION["user_lastactive"] = time(); return true; } } } ?>

Теперь происходит проверка, прошёл ли параметр “true” через параметр запоминания функции входа в систему. Если да, для ключа санкционирования доступа задаётся файл cookie. Функция Rand_string создаёт цепочку с числом символов, которые прошли через неё. Функция Session_encrypt добавляет в цепочку произвольные данные и зашифровывает всю информацию с помощью md5. Данная цепочка является уникальной, так как в ней используется имя пользователя, которое уникально для каждого пользователя. Затем ключ санкционирования доступа в списке mysql устанавливается к значению, вводимому в файл cookie. Как бы там ни было, этой защиты может быть не достаточно для вашего сайта. Рассмотрите возможность добавления нескольких ключей санкционирования доступа и нескольких файлов cookie. Опять-таки, данная функция не соответствует требованиям функции “remember me”. Также необходимо добавить функцию инициализации.

К данной функции необходимо обращаться на каждой странице. Её назначение - проверка ключа санкционирования доступа файла cookie (“auth_key”). Если файл cookie использует функцию isset, появится соответствующий пользователь. Ещё раз, к данной функции необходимо обращаться на каждой странице.

Данный код проверяет, используется ли функция isset. Если данная функция используется файлом cookie, произойдёт проверка соответствия ключа санкционирования доступа с пользователем. Если соответствие установлено, файл извлечёт требуемую информацию и зарегистрирует пользователя. В противном случае файл cookie будет удалён, так как является недействительным.

Другие функции

= $currenttime){ // Set new user last active time $_SESSION["user_lastactive"] = $currenttime; } else { // If session has been inactive too long logout logout(); } } } } ?>

Функция выхода из системы не требует разъяснений. Данная функция удаляет все переменные сессии и файлы cookie и устанавливает значение ключа санкционирования доступа для пользователя на 0. После этого ключом санкционирования доступа воспользоваться будет нельзя. Необходимо отметить, что пользователь может задать значение 0 для своего файла cookie и всё ещё регистрироваться в системе под своим именем. Чтобы это исправить, проверьте всё информацию, получаемую из файлов cookie. Используя функцию regexp, убедитесь, что цепочка содержит действительное количество символов, содержит действительные символы и т. д. Функция keepalive() поддерживает активность сессии. Данная функция должна быть на каждой странице.

Заключение & перехват сессии

Чрезвычайно сложно защититься от перехвата сессии Session Hijacking. Возможно, вы читали некоторые советы по использованию комбинации IP-адреса пользователя или процесса User Agent для создания идентификационных меток. Впрочем, это не эффективно для ваших фактических пользователей. IP-адреса пользователей постоянно меняются. У крупных поставщиков услуг Интернета, таких как AOL, они меняются каждые несколько минут. Это создаст огромную проблему. Процессы User Agent также меняются — установлено, что в IE7 агенты пользователя периодически меняются. Самый лучший способ защиты от перехвата - создать жезловую систему. Данная система выводит файл cookie на каждую страницу загрузки и также хранит это значение в вашем списке mysql. Затем происходит сравнение значения файла cookie со значением таблицы MySQL. Если они разные, сессия будет недействительной.

Это основные функции по работе с файлами сессий и файлами cookie. Разумеется, для усовершенствования защиты необходимо добавить больше файлов cookie для проверки достоверности данных. Данного уровня защиты не достаточно для защиты сугубо важной информации, но с чего-то нужно начинать! И в завершение:

Следите за тем, чтобы значения файлов cookie были действительными.
Никогда не выводите пароль на сессию или переменную cookie.
Для предотвращения фиксации сессии используйте идентификатор session_regenerate_id.

До следующих уроков!

П.С. Комментарии в коде переведу в течении суток:)

Рекомендуем также

Loading...Loading...