[PHP] Ingelogd blijven?

zou kunnen met behulp van een cookie. Sessies verlopen als je je browser sluit

je kan gebruik maken van een ip check of versleutelde cookies

Verwijderd schreef op 27 april 2004 @ 12:53:
je kan gebruik maken van een ip check of versleutelde cookies

Alleen IP check lijkt me vrij onbetrouwbaar.. Encrypted cookie lijkt me dan beter.

Kijk eens op www.phpfreakz.nl daar staan genoeg voorbeelden van login scripts met cookies.

Kijk ook hier eens : www.php.net/setcookie .. verder werken koekjes ongeveer hetzelfde als sessie's.. je moet dus gewoon met $_COOKIE werken.

Oh ja, je kan een soort van userhash maken.. dus username + password + random getal en dat in md5.. die in de database en cookie zetten en deze laten controleren. Heb ik ook gedaan op m'n forum maar is een tijdje geleden dat ik er mee bezig geweest ben dus misschien heb ik het een beetje fout uitgelegd

Succes!

[ Voor 39% gewijzigd door Dennahz op 27-04-2004 12:57 ]

Cookie neerzetten met een willekeurige waarde, op je server deze willekeurige waarde koppelen aan het ip-adres. Dan als iemand pagina opvraagt cookie uitlezen, willekeurige waarde op je server controleren en ip-adres controleren. Dan zou iemand moeten kunnen inloggen door op hetzelfde ip-adres te blijven, terwijl je niks gevaarlijks client side zet.

BrEeZeR schreef op 27 april 2004 @ 12:56:
Oh ja, je kan een soort van userhash maken.. dus username + password + random getal en dat in md5.. die in de database en cookie zetten en deze laten controleren. Heb ik ook gedaan op m'n forum maar is een tijdje geleden dat ik er mee bezig geweest ben dus misschien heb ik het een beetje fout uitgelegd

Lijkt me niet handig om een random getal erin te zetten. Dan klopt de hash niet meer, omdat je het random getal niet weet

Vreemde antwoorden zeg. Een sessie werkt meestal met een cookie. Zet de verloopdatum van die cookies op (bijvoorbeeld) 10 jaar. Bij het sluiten van je browser bestaat de cookie dan nog en moet je nog ingelogd zijn. (Het kan zijn dat de server de informatie die bij je cookie hoort wel verwijderd -- je kan ook instellen wanneer dat gebeurt.)

TeeDee schreef op 27 april 2004 @ 13:06:
[...]

Lijkt me niet handig om een random getal erin te zetten. Dan klopt de hash niet meer, omdat je het random getal niet weet

goh, waarom staat er dan in zijn post iets van een database en het daarin opslaan

Sendy schreef op 27 april 2004 @ 13:09:
Vreemde antwoorden zeg. Een sessie werkt meestal met een cookie. Zet de verloopdatum van die cookies op (bijvoorbeeld) 10 jaar. Bij het sluiten van je browser bestaat de cookie dan nog en moet je nog ingelogd zijn. (Het kan zijn dat de server de informatie die bij je cookie hoort wel verwijderd -- je kan ook instellen wanneer dat gebeurt.)

Een sessie is een cookie die wordt verwijdert als:
• OF de sessie tijd verlopen is
• OF de browser gesloten wordt

Dat is het verschil tussen een sessie en een normale cookie.

@breezer
uhhh password encrypte in een cookie is niet echt verstandig

Kunt IMO beter je ip erin mee hash-en. Kan je ook ingelogd blijven op meerdere computers met een andere cookie waardoor cookie hijacks wat lastiger word.
(ruw vb: men copied een cookie op een flop en plant het netjes op zijn pc op de desbetreffende plek. Woppa en de kind [scriptkiddie] kan de was doen )

pietje63 schreef op 27 april 2004 @ 13:14:
[...]

Een sessie is een cookie die wordt verwijdert als:
• OF de sessie tijd verlopen is
• OF de browser gesloten wordt

Dat is het verschil tussen een sessie en een normale cookie.

Cookies zijn ook in te stellen dat ze verloopbaar als je een browser sluit c.q. sessietijd verlopen is.

Cookies zijn clientside, sessions serverside (en plaatsen alleen clientside een SessieID)

pietje63 schreef op 27 april 2004 @ 13:14:
[...]

Een sessie is een cookie die wordt verwijdert als:
• OF de sessie tijd verlopen is
• OF de browser gesloten wordt

Dat is het verschil tussen een sessie en een normale cookie.

quote: http://www.php.net/session

session.cookie_lifetime specifies the lifetime of the cookie in seconds which is sent to the browser. The value 0 means "until the browser is closed." Defaults to 0.

Je kunt het makkelijkste inderdaad de session cookie lifetime verhogen naar een maand ofzo.

Als extra beveiliging en ter voorkoming van het kopieren van de cookie naar andere systemen zou je het IP op kunnen slaan in de sessie. Nadeel is dat mensen met een variabel IP dan niet ingelogd kunnen blijven.

pietje63 schreef op 27 april 2004 @ 13:14:
[...]

Een sessie is een cookie die wordt verwijdert als:
• OF de sessie tijd verlopen is
• OF de browser gesloten wordt

Dat is het verschil tussen een sessie en een normale cookie.

En als je nog niet door hebt dat je kletst; een sessie gebruikt 1) een searchstring in de URL of 2) een cookie (of nog exotischer een veld in een form) om een unieke identifier clientside te gebruiken. Deze identifier is gekoppeld aan een sessie datablokje op de server. Je kan dus instellen wat je wil aan cookies, want een cookie is een cookie is een cookie.

Isengrim schreef op 27 april 2004 @ 14:04:
Tis leuk dat jullie me allemaal het verschil uit leggen tussen een sessie en een cookie, maar wat is nou de beste en veiligste manier om ingelodg te blijven?

Als je het even allemaal gelezen had

Wat er dus gezegd wordt is dat cookies/sessies hand in hand gaan. De enige manier waarop je iemand ingelogd kan houden is middels cookies. Of je die cookies nu zelf regelt of via de sessie boeit niet zoveel. Het laatste is echter wel het eenvoudigst, zeker aangezien je eigen site ook al gebruik maakt van sessies.

Qua beveiliging kun je het zelf zo veilig maken als je zelf wilt.

Er is geen 'beste' of 'veiligste' manier.

Nee, maar wel een 'betere' of 'veiligere'.

Imo is gewoon de beste () manier: sessies gebruiken en vervolgens het SESSID in een cookie op te slaan, zoals hierboven al meerdere keren gezegd is. De kans is uitermate klein dat een gebruiker een ander (bestaand) ID in z'n cookie edit.

[ Voor 9% gewijzigd door netiul op 27-04-2004 14:41 ]

Replicator schreef op 27 april 2004 @ 14:40:
Nee, maar wel een 'betere' of 'veiligere'.

Imo is gewoon de beste () manier: sessies gebruiken en vervolgens het SESSID in een cookie op te slaan, zoals hierboven al meerdere keren gezegd is. De kans is uitermate klein dat een gebruiker een ander (bestaand) ID in z'n cookie edit.

Een sessiID staat in de meeste gevallen al in een cookie. Het enige dat je hoeft te doen is de cookie parameters van de sessie aanpassen en ervoor zorgen dat het sessiebestandje op de server lang genoeg blijft bestaan.

Replicator schreef op 27 april 2004 @ 14:40:
Nee, maar wel een 'betere' of 'veiligere'.

Imo is gewoon de beste () manier: sessies gebruiken en vervolgens het SESSID in een cookie op te slaan, zoals hierboven al meerdere keren gezegd is. De kans is uitermate klein dat een gebruiker een ander (bestaand) ID in z'n cookie edit.

Nee.. maar het is zo wel erg makkelijk de cookie te kopieren/stelen/whatever

Oftewel: lifetime instellen met www.php.net/session_set_cookie_params en klaas is kees. Dit is al 100x besproken, en er is bovendien enorm veen over te vinden op het web. Succes