Какие есть статьи про сессии на php которым можно доверять?

Question

[Роман Якушев]

Я новичок в php. Гуглил авторизацию\регистрацию на php.
Нашёл вот эту статью на хабре.
Всё просто и понятно, работает и безопасно. Но мне нужна почти такая же статья только с реализацией авторизации на сессиях.
Да, есть гугл - он ничего не дал. А то что дал - везде в комментах пишут про тонну дыр. Мне нужен безопасный способ.
Да, есть документация по php где всё тоже понятно расписано, но нет ни одного полноценного примера реализации авторизации и регистрации на сайте. Я конечно мог бы попытаться с помощью справочника написать свою форму - но 1. боюсь что наделаю ещё больше дыр чем в любом примере что я нашёл, и 2. - я лучше понимаю на примерах. Простой код с комментариями и ничем лишним отлично подойдёт.

Answer 1

[FanatPHP]

Авторизация на сессиях ничем не отличается от авторизации на куках, за исключением того, сессия сама генерирует хэш и ставит куку.

Поэтому если ты считаешь, что этот код работает безопасно, то просто замени установку и проверку куки на установку и проверку сессионной переменной.

Answer 2

[Леша Киселев]

Вот пара занимательных статей на эту тему:
blgo.ru/blog/2014/07/18/regform
blgo.ru/blog/2014/07/24/regform-112

А вообще, алгоритм примерно такой:
Врубаем https, при регистрации хэшируем пароль с солью и статичиским ключиком. Примерно так:

$staticKey = "Your static key";
$salt = %random string with diggits%; 
$password = sha1($_POST['password'] . $staticKey . $salt);
// save to db $salt and $password

Для авторизации проверяем соответствие пароля:

$staticKey = "Your static key";
$salt = %salt from db%; 
$password = sha1($_POST['password'] . $staticKey . $salt);
return $password == $dbPassword; // Авторизация удалась

Теперь можем создать сессию и записать в нее данные для авторизации. Если исользуем свой механизм сессий, то тут можно предусмотреть несколько вариантов для защиты:
1. Повторный ввод пароля, если пользователь зашел из необычного места (определяем по ip/геолокации, например). Сегодня он в России, завтра он в Австралии, стоит проверить пароль еще раз. Проверку не проходит, скидываем сессию.
2. Сессия была в одном браузере, затем, та же сессия, в другом. Странное поведение, просим ввести пасс.
3. Можем раз в пол часа обновлять идентификатор сессии в куках у юзера.
4. etc.

Comments

[FanatPHP]

Это не статьи, а какие-то реплики. Совсем не по теме вопроса.

[Леша Киселев]

FanatPHP: обновил ответ.

[FanatPHP]

Это уже по теме. Но если уж говорить о безопасности хэширования, то этот вариант не сильно лучше ада из статьи. Хэширование не нужно изобретать самому, нужно использовать разработанное професионалами, php.net/manual/ru/book.password.php

[Леша Киселев]

FanatPHP: Выбор функции хэширования всегда остается за разработчиком, я же привел пример алгоритма работы "без магии".
На самом деле, не очень понятно, что значит "А то что дал - везде в комментах пишут про тонну дыр". Дыры какого рода?

[FanatPHP]

А вот это как раз одна из них. А точнее не дыра, а эпик фейл. Оставлять выбор за разработчиком - это направлять Титаник прямиком на айсберг. Разработчик у нас - идиот. И выберет самое тупое решение. Не со зла, а просто по неграмотности. Специально для идиотов знающие люди написали фреймворк для безопасного хэширования. Надо не блеять "выбор идиотского варианта за разработчиком", а бить этого разработчика по голове, пока не выучит наизусть, чем надо пользоваться.

[Леша Киселев]

FanatPHP: Это, конечено, все хорошо, но Вы не ответили на мой вопрос. Повторюсь еще раз. Про дыры какого рода Вы говорите?

[FanatPHP]

Я?

[Леша Киселев]

FanatPHP: глаз "замылился", прошу прощения.

[Роман Якушев]

Леша Киселев: ruseller.com/lessons.php?rub_id=29&id=464 вот к примеру статья, где в комментах пишут про "дыра на дыре". я больше беспокоюсь за безопасность. Мне необходим просто пример формы авторизации и регистрации через сессии, правильный с точки зрения безопасности. Благодарю за ваши статьи - посмотрю.

[FanatPHP]

обломись, энтузиаст :) Там нет ни кода, ни статей. А только пара банальностей на тему юзабилити, но тебе про это ещё рано.

[Роман Якушев]

FanatPHP: да нет, вещи которые там обсуждаются мне вполне понятны... и таки да, это не ответ на мой вопрос))) я просто не могу поверить - что вообще ВСЕ кто делал формы авторизации на сайте - делали их по справочникам php?

[FanatPHP]

Делавшие делятся на две группы. Меньшая использует готовые формы, которые предлагаются в составе фреймворков. А большая - да, по говностатьям в интернете. Есть еще те, кто пишут фремворки - но их совсем мало, и они делают на базе собственного опыта.