Как правильно сохранять сессию в куки?

Question

[Даниил Сухих]

Сейчас у меня при авторизации создаётся сессия которая равна ID пользователя, потом я вывожу данные пользователя в его лично кабинете через этот id. Но ещё во время авторизации создаётся куки которые тоже равный id пользователя.
Если при заходе на сайт существует сессия то всё ок продолжаем работу на сайте, если нет проверяем куки если они есть то создаём сессию равную кукам(там ид).
Правильно ли это?

Answer 1

[serginhold]

Ты положил болт на безопасность, сделав авторизацию по куке которая равна id пользователя.
Я допустим захожу на твой сайт, захожу в настройки браузера и ставлю твою куку, допустим id=1, и так я зашёл под админом на твой сайт, или просто под каким-то другим пользователем. Вопрос только в подборе id.

По этому если хочешь сделать такую авторизацию, нужно чтобы в куках был ничем не связанный с пользователем токен входа.

Ввел юзер логин/пароль, если все ок, создаёшь какую-то белеберду, типа
token = md5(salt . rand() . id) // эта часть твоя фантазия :)
сохраняешь ее и в куку пользователя, и в базу.
Когда пользователь заходит на сайт, берешь эту куку и сверяешь со значение в базе для этого пользователя. Всё.

Comments

[Даниил Сухих]

Вот я слышал о таком но не полностью, этот ответ я и хотел найти...

Answer 2

[Stalker_RED]

Неправильно.
Лучше не играйтесь с безопасностью, если не понимаете как это работает. Используйте стандартный sessionid, и ничего больше в куки не нужно писать.

php.net/manual/ru/session.examples.basic.php

Comments

[Даниил Сухих]

Сессия создаётся не на долго, почему нельзя использовать для этой задачи куки?

[Stalker_RED]

Даниил Сухих, с каждой минутой "все страньше и страньше".
Давайте по пунктам:

>> 1. сохранять сессию в куки
Зачем вообще это делать?

>> сессия которая равна ID пользователя
Это как вообще?

>> 3. во время авторизации создаётся куки которые тоже равный id пользователя
Зачем?

>> 4. Сессия создаётся не на долго
Почему? Можно же установить любую длительность.

[DevMan]

На что только не пойдут люди, лишь бы документацию не читать.

[Faint]

Даниил Сухих, увеличь время жизни сессии.

[zvonok1337]

DevMan, доку-что?

[Даниил Сухих]

Faint, как это сделать? Ссылку.

[Даниил Сухих]

Stalker_RED, может если вам будет понятнее я скину вам код авторизации...

<?php 
require '../libs/bd.php';
require '../libs/session.php';
$date = $_POST;
$errors = [];
if (isset($date['log_b'])) {
	if ($date['login'] == "") {
		$errors[] = 'Ошибка: Вы не ввели логин!';
	} else {
		$p_login = $date['login'];
		$ack = mysqli_query($connection, "SELECT * FROM `users` WHERE email = '$p_login'");
		$user = mysqli_fetch_assoc($ack);
	}
	if ($date['pass'] == "") {
		$errors[] = 'Ошибка: Вы не ввели пароль!';
	} else {
		$passh = password_verify($date['pass'], $user['password']);
	}

	if ($passh == false) {
		$errors[] = 'Ошибка: Вы ввели не верный логин или пароль!';
	}

	if (empty($errors)) {
		$id = $user['id'];
		$_SESSION['Auth'] = $id;
		setcookie("Auth", $id, time()+60*60*24*365*100 , "/");
		echo "Успешно";
	} else {
		echo array_shift($errors);
	}
}
?>

А потом в главной странице делю так:

session_start();
if (isset($_SESSION['Auth'])) {
		$id = $_SESSION['Auth'];
		$ack = mysqli_query($connection, "SELECT * FROM `users` WHERE id = $id");
		$user = mysqli_fetch_assoc($ack);
	} elseif (isset($_COOKIE['Auth'])) {
		$_SESSION['Auth'] = $_COOKIE['Auth'];
		header("Refresh: 0");
	}
?>

[Stalker_RED]

Даниил Сухих, окей, я логинюсь в ваш крутой сервис, открываю девтулс, удаляю sessionid, меняю свой id 42 на 43, например, и попадаю в чужой аккаунт.

Еще раз: не играйте с безопасностью!

session_start();

if ($_SESSION['auth']) {
  // юзер уже залогинен
} else {
  // показать форму
} 

if (пришли данные с формы) {
  проверить логин/пароль
    записать $_SESSION['auth']
}

И ВСЁ
Не трогайте куки вообще!

Answer 3

[Даниил Сухих]

Сделал вот такую авторизацию:

<?php 
require '../libs/bd.php';
require '../libs/session.php';
$date = $_POST;
$errors = [];
if (isset($date['log_b'])) {
	if ($date['login'] == "") {
		$errors[] = 'Ошибка: Вы не ввели логин!';
	} else {
		$p_login = $date['login'];
		$ack = mysqli_query($connection, "SELECT * FROM `users` WHERE email = '$p_login'");
		$user = mysqli_fetch_assoc($ack);
	}
	if ($date['pass'] == "") {
		$errors[] = 'Ошибка: Вы не ввели пароль!';
	} else {
		$passh = password_verify($date['pass'], $user['password']);
	}

	if ($passh == false) {
		$errors[] = 'Ошибка: Вы ввели не верный логин или пароль!';
	}

	function generatePassword($length = 8){
  $chars = 'abdefhiknrstyzABDEFGHKNQRSTYZ23456789';
  $numChars = strlen($chars);
  $string = '';
  for ($i = 0; $i < $length; $i++) {
    $string .= substr($chars, rand(1, $numChars) - 1, 1);
  }
  return $string;
}

	if (empty($errors)) {
		$uuid = password_hash(generatePassword(8), PASSWORD_DEFAULT);
		setcookie("Auth", $uuid, time()+60*60*24*365*100 , "/");
		mysqli_query($connection, "UPDATE `users` SET `uuid`='$uuid'");
		$id = $user['id'];
		$_SESSION['Auth'] = $id;
		echo "Успешно";
	} else {
		echo array_shift($errors);
	}
}
?>

Comments

[bezdealnick]

У вас sql уязвимость в данном решении.

[Даниил Сухих]

bezdealnick, где??

[bezdealnick]

$ack = mysqli_query($connection, "SELECT * FROM `users` WHERE email = '$p_login'");

[Даниил Сухих]

bezdealnick, что тут не так?
так сделать?

$ack = mysqli_query($connection, "SELECT * FROM `users` WHERE `email` = '$p_login'");

[bezdealnick]

Даниил Сухих, используйте pdo и его плейсхолдеры. Или чистите вручную входящие данные.