Ben OTURUM vars dayanan basit bir giriş sistemi kullanın. Kullanıcı günlükleri, bir kez oturum var ben herhangi bir özel clientside çerez var kullanmak yok içeri kullanıcı kabul edilecek benim komut söyler ayarlanır.
Ben "bütün gün beni loggued tutmak" diyor giriş ekranında seçeneği sunmak istiyorum. Nasıl bir güvenli bir şekilde bunu yapar?
Birincisi: session.cookie_lifetime directive, either in php.ini, configuration files, or via session_set_cookie_params() yapılandırın.
Sonraki, oturumda kullanıcı adı ve şifre hash değerini saklamak, ve her sayfada bu şekilde giriş doğrulamak. Sürece hala geçerli olduğu gibi, onlar oturum kalmak için olsun
Oturum kurabiyenin doğal sona erme genellikle (yıldız bunun için hizalanmış eğer tabii,) onlar aktif tutmak eğer herkes kendi oturumun ortasında dışarı çıkışım alma olmayacak gibi, şeyler derli toplu tutmak gerekir. Sadece eğer ifadesine ikinci bir çizgi eklemek olabilir gibi bu başarısız olsa da, ben, eCartoth çözümü yakın ikinci düşünün:
if (my_validate_user_function($_SESSION['username'],$_SESSION['passhash'])
&& $_SESSION['deathstamp'] > time()
) {
// user is logged in again, oh boy!
}
else {
// send in the death robots
header('Location: /login.php',true,302);
}
EDIT: Eğer düşünebilirsiniz bir şey oturum belirleme ve / veya oturum kaçırma olduğunu. Bunu önlemek için, ben iki çözümlerin birini (veya her ikisini) tavsiye ederim:
session_regenerate_id() her başarılı oturum açma girişiminin ardından.
Eğer "Beni bütün gün giriş tutmak" derken doğru, sadece belirli bir makinedeki demek farz ediyorum? Sen giriş zamanı ', ya da bütün gün açmış kendilerini korumak için seçerseniz o oturum artık geçerli olacağı bir zaman damgası hatırlamak için bir mysql tablo kullanabilirsiniz. Sonra oturumu vars o kullanıcının kimliği alır kodunuzu başında bazı komut dosyası ekleyebilirsiniz. Saklanan 'son geçerli ts karşı' o kullanıcının mevcut damgası karşılaştırmak ve o zaman geçmiş ise, onlar size oturumu silin ve tekrar giriş yapmak için kullanıcı kuvvet hangi noktadan dışarı günlüğe gerektiğini biliyorum. Bu yöntem, denemek ve bu noktada geçmiş bir şeyler yapmak kadar aslında dışarı günlüğe olmayacak, ancak onlara bu gibi görünüyor anlamına gelir. Ayrıca, yerine mysql DB kullanarak daha aynı zamanda da bir oturum değişkeni o son geçerli TS depolayabilir.
Kullanıcı ile ilk açtığında Yani, örneğin "ben seçilmiş bütün gün giriş tutmak":
$_SESSION['log_me_out_at'] = strtotime(date("Y-m-d ")."23:59:59");
Sonra her zaman bir sayfa sisteminizde erişilir:
if( $_SESSION['log_me_out_at'] < time() ){
unset($_SESSION['user_is_accepted_in']);
}
Bir seçenek oturum değişkenleri kaydeder ve IP adresleri ve bir sona erme ile ilişkilendiren bir MySQL tablo kurmak için olabilir, ama ben bu uygulamaya nasıl olacağı ile ilgili tüm detayların emin değilim.
Basit aradığınız ne yolu sitenizin daha sonra kontrol edecek bilgisayarda kullanıcı adı ve şifre ile bir $_COOKIE ayarlamak olacaktır (not önerilir gerçi) kullanıcı imzaladığında.
For added security, daha iyi olurdu kullanıcının hesap verileri hakkında bir potansiyel korsan az bilgi vermek amacıyla kullanıcının verilerinin bir tuzlu MD5 hash olarak sadece bir çerez kaydetmek için görev yaptı. Eğer çerez ayarladığınızda süresi ayarlanabilir; php.net bunu nasıl makul tam belgelerine sahiptir.