سلام؛

من می‌خوام درباره روند کلی یک ورود و خروج بدونم.
مثلا اینطور بهم بگید که:
با وارد کردن نام کاربری و پسورد، سیستم چک می‌کنه، اگه اون نام کاربری و پسورد در پایگاه داده مطابقت داشت، 1 رو بر می‌گردونه، حالا چه اتفاقاتی بین کوکی و سیستم می‌افته؟؟
مثلا توی کوکی چه چیزی نوشته می‌شه که سیستم در همه نام کاربری تو رو تشخیص می‌ده؟

من ایجاد کوکی و حذفش و .. رو می‌دونم، فقط نمی‌دونم چطور مثلا از طریق کوکی سیستم می‌تونه نام کاربری من رو تشخیص بده. یعنی داخل اون چی نوشته می‌شه.
ضمنا سشن (session) چی هست؟
توی این موضوع دخالت داره؟

متشکر می‌شم کامل توضیح بدید:چشمک:

سلام
کافیه یه متغیر توی کوکی داشته باشی ، که نام کاربری و رمز ورود ، رو ثبت میکنه (البته برای امنیت به صورت هش شده) ، بعد توی هر صفحه ، کافیه چک کنی که کوکی ثبت شده یا نه و اگر ثبت شده با چه یوزر و پسووردی ثبت شده. بعد بر اساس اون میتونی تشخیص بدی که چه کاربری در حال اجرای صفحه س.
فرق کوکی با سشن اینه که کوکی توی کامپیوتر کلاینت ثبت میشه ولی سشن توی سرور و در صورتی که مرورگر بسته بشه ، سشن ها پاک میشن.

موفق باشید.

در واقع وقتی از سشن استفاده کنی، در کوکی طرف فقط یک کد ثبت می‌شه که روی سرور هم هست. وقتی پنجره بسته بشه اون کد از طرف کلاینت پاک می‌شه. اما تا قبل از اون، با هر بار که طرف می‌خواد یه صفحه ببینه، اون کد کوکی هم ارسال می‌شه، سرور می‌فهمه این کدوم کاربره، و به برنامه (مثلا php) اجازه می‌ده که متغیرهای دیگه‌ای رو از توی حافظه بخونه که یکی‌اش می‌تونه LoginState باشه، یعنی طرف لاگین هست یا نه.

ممنون از هر دو رفیق..

اما من یه کم گیج شدم، یعنی من الان برای این کار، نیازی به استفاده از سشن دارم یا نه بالاخره؟

راستی، اگه ممکنه کد ثبت نام کاربری و پسورد در کوکی رو برام بذارید.

واقعا ممنون.

سلام استفاده از session یکی از راههای کنترل ورود و خروج هست شما کافیه بعد از اینکه کاربر نام کاربری و کلمه عبور رو زد اونو تو db چک کنی اگر درست بود بری صفحه بعد (تغییر location در header) و الا پیغام بدی که اشتباه است در ضمن در صورت درست بودن یه مقدار session رو ست کنی و در همه صفحات قبل از انجام هر کاری چک کنی اگر این session ست شده بود عملیات انجام بشه و الا برگرده صفحه login برای مثال به کد زیر یه نگاه بنداز:


if(entity2("personel",$_GET['username'],encrypt($_GET['password']),"UserName","Password") && $flag)
{
$_SESSION['FIRSTNAME']=$result['FirstName'];
$_SESSION['LASTNAME']=$result['LastName'];
header('Location:new.php');
}
که اینجا تابع entity چک میکنه مقادیر در db هستند یا نه .
حالا باید تو همه صفحات session ها رو چک کنی.

روش استفاده از کوکی :


<?php
$value = 'something from somewhere';

setcookie("TestCookie", $value);
setcookie("TestCookie", $value, time()+3600); /* expire in 1 hour */
setcookie("TestCookie", $value, time()+3600, "/~rasmus/", ".example.com", 1);
?>

ممنون ArtCom جان،
خیلی خوب بود...

فقط یه چیزی!
من فکر کنم خیلی دیرگیرم!
دوستان گفتند که سشن بعد از بستن مرورگر پاک می‌شه!
با این حساب، کاربر باید هر بار که مرورگرش رو باز می‌کنه، نام کاربری و پسوردش رو وارد کنه، درسته؟

یه چیز دیگه اینکه:
من هنوز نفهمیدم کوکی همون کارِ سشن رو انجام می‌ده یا نه؟
توی کدی که برای ثبت کوکی نوشتید، کجا باید نام کاربری و پسورد رو بنویسم؟ :(
الان در همین انجمن‌ها، از کوکی استفاده شده یا سشن؟ یا اصلا هر دو؟

شرمنده که زیاد سئوال می‌کنم، چون هنوز موضوع کامل برام روشن نشده...

ببین هدف فقط تشخیص هویته...
به طرق مختلف میشه این کار رو انجام داد حتی با URI و اینکه چه جور بخوای این تشخیص هویت رو انجام بدی بر میگرده به خودت
به عنوان یک مثال اگر بر اساس نام کاربری بخوایم این کار رو انجام بدیم


<?php
if(isset($_GET['username'])){
//Check username
if($_GET['username'] == 'amin'){
//User logged in
//Set a cookie
}
}
?>
حالا کاربر برای تشخیص هویت باید از http://url?username=amin استفاده کنه (هدایت بشه) و هر بار که این کار رو انجام داد هویتش تشخیص داده میشه از طرف سیستم...
حالا میشه username=amin رو به عنوان یک کوکی برای تشخیص هویت کاربر استفاده کرد...
مثلاْ تو کد بالا به جای //Set a cookie داشته باشیم setcookie('username', 'amin');
و به این ترتیب


<?php
if(isset($_COOKIE['username'])){
//Check username
if($_COOKIE['username']=='amin'){
//Registerd user
}
}
?>

باید با کد بالا به صورت مناسب ترکیب بشه...
(البته این مثال خیلی ساده و سمبولیک است ولی اصل کار رو میتونه برسونه)


من هنوز نفهمیدم کوکی همون کارِ سشن رو انجام می‌ده یا نه؟هر سشن برای تشخیص هویت درخواست دهنده های مختلف از session id استفاده می کنه که در مراجعه اول کاربر مثلاْ این id مثلاْ بصورت یک کوکی برای درخواست کننده ست میشه و هر بار که درخواست کننده درخواستی میکنه این کوکی برای برنامه ارسال میشه و به این ترتیب برنامه بدنبال اطلاعات ذخیره شده مربوط به اون id می گرده و اونها رو در اختیار برنامه ما میذاره...
حالا اگه این کوکی با از بستن مرورگر از بین بره در حالت عادی دیگه اون session id وجود نداره که درخواست داده بشه و در مراجعه بعدی session id جدیدی جاش رو میگره...
اون اطلاعات قدیمی به موقع!! حذف میشه از سرور...

و ....
http://www.php.net/manual/en/ref.session.php
http://www.php.net/manual/en/features.cookies.php

ممنون از همه،
متوجه موضوع شدم، بقیه‌ش رو عملا کار می‌کنم، مطمئنا مشکلی نخواهد بود :چشمک:

بازم ممنون و موفق باشید...

خواهش می‌کنم.
اما این که پرسیدی همین فروم از چی استفاده می‌کنه: از هم سشن و هم کوکی. اما نکته مهم اینه که چیزی که توی کوکی هست، خود نام کاربری و کلمه عبور نیست (چون که این امکان هست که یک آدم بد ذات کوکی‌ها رو بخونه، و مثلاً پسورد من رو بدزده.) به جاش، یک فرم encrypt‌ شده از اون قرار داده می‌شه، یا از روش‌های دیگه استفاده می‌شه که اگر خواستی به موقع‌اش می‌شه بهش بپردازیم.

سلام دوستان
من به بحثتون گوش دادم و اون رو خوندم .
چند سوال برای من پیش اومد:

اگر دریک سایت از سیشن برای کنترل ورود و خروج استفاده بشه چه مشکلاتی به وجود می یاد ؟

استفاده از سیشن بهتر است یا کوکی ؟

من دربعضی جاها این موضوع رو خوندم که امنیت کوکی پایین است پس چرا شما کوکی را پیشنهاد می کنید؟

ببخشید اینقدر سوال می کنم.

با تشکر

در جواب شما باید بگم:

استفاده از Session به تنهایی، امکان این که وقتی طرف بار بعدی به سایت سر زد Login باقی بمونه (همون Remember my login خودمون) رو نداره. برای این کار فقط می‌شه از Cookie استفاده کرد.

امنیت کوکی دقیقاً به همون دلیل بالا کمتره. ببینید، خود Session هم از طریق Cookie عمل می‌کنه (یعنی وقتی لاگین کردید، یک کوکی ساخته می‌شه، که با بسته شدن پنجره پاک می‌شه) اما این Cookie عمر کوتاهی داره (معمولاً اگر ۲۰ دقیقه یا نیم ساعت بگذره و شما هیچ کلیکی توی وب‌سایت مورد نظر نکنید، Logout می‌شید که البته به شرایط برنامه و تنظیمات سرور و غیره هم بستگی داره) و در نتیجه، بعد از این مدت، قابل سوء استفاده نیست (خیلی ساده گفتم). اما اگر اون Cookie که روی کامپیوتر شما هست و به شما اجازه می‌ده مثلاً دو هفته توی Yahoo! Mail لاگین کرده باقی بمونید، توسط یک برنامه‌ای دزدیه بشه و در کامپیوتر یک فرد بدجنس مورد استفاده قرار بگیره، ممکنه که ای-میل شما مورد سوء استفاده قرار بگیره. (البته این هم راه حل‌هایی داره، اما نه راه حل کاملاً قطعی).

در هر حال، اگر بخواید از کوکی استفاده کنید، خوبه که به کاربر یادآور بشید که بعد از اتمام کار Logout کنه تا کوکی هم بلا استفاده بشه.

علاوه بر گفته های دوستمون باید بدونین که کوکی روی سیستم کاربر ایجاد میشه ولی سشن روی سرور برای همین امکان جعل کردن کوکی وجود داره ولی سشن امکان جعلش تقریبا صفره. مثلا میشه با جعل کوکی وارد با اکانت یکی دیگه وارد سایت شد. البته راههایی هم برای جلوگیری از این کار وجود داره. در کل استفاده از تلفیقی از سه روش کوکی ، سشن و دیتابیس میتونه یه سیستم لاگین مطمئن رو بسازه.

پارامترهای سیستم سشن پی اچ پی رو هم میشه تنظیم کرد؛ هم طول عمر کوکیش رو و هم بخش روی سرور رو. اما یکسری نکات متعدد ریز و کمی گمراه کننده داره که غیرحرفه ایها احتمالا تشخیص نمیدن.
ولی سیستم سشن پی اچ پی خیلی وقتها به علتهایی که توضیحش از حوصلهء این پست خارجه روش چندان استاندارد و قابل اتکایی نیست (به تنهایی). بهتره با روشهای مکمل ترکیب بشه یا کلا از یک روشی که خودتون برنامه نویسی کردید استفاده کنید.
ضمنا امنیت سشن پی اچ پی روی سرور بعلت اهمال در طراحیش نه تنها بالا نیست، بلکه درحالت پیشفرض و بخصوص روی ورژنهای قبلی پی اچ پی، به شدت ضعیفه!
شما میتونی سیستم اتولاگین خودت رو درست کنی و با تمهیدات لازمه به حد کافی امنش هم بکنی. سشن پی اچ پی هم چیز خاصی نداره که از دسترس برنامه نویسی شما خارج باشه.
البته اینا که گفتم دلیل بر بی کاربردی سشن پی اچ پی و عدم مزیت هاش نیست. فقط نیاز هست که تنظیمات حرفه ای انجام شده باشه و دقت کافی بشه و از اون حالت پیشفرض ناشیانه و فاجعه بار درش بیاریم، که اینا رو خیلی ها، حتی به نسبت حرفه ایها، بخوبی درک نکردن و انجام نمیدن.
بنده یک پروژهء سیستم رجیستر و لاگین نوشتم که از هر دو روش برنامه نویسی و سشن پی اچ پی بطور همزمان استفاده میکنه؛ و شما میتونید هر دو یا یکی از ایندو رو معین کنید که سیستم ازش استفاده کنه.
این دو روش در برنامهء بنده حتی بصورت ترکیبی باهم کار میکنن (این رو هم میشه فعال و غیرفعال کرد). یعنی موقعی که سشن کاربر از بین میره، با کوکی اتولاگین برنامه، سشن جدیدی تشکیل میشه و تا دفعات بعدی که سشن پابرجا باشه از سشن استفاده میشه.
ممکنه بپرسید خب چرا شما از سیستم سشن پی اچ پی اصلا استفاده کردی و مگر سیستم کوکی برنامهء خودت کافی نبود!
این به چند دلیل هست؛ سیستم سشن پی اچ پی خواص و مزایایی ممکنه داشته باشه در حالت خاص. گرچه شاید زیاد هم مهم نباشن؛ اما بهرحال بنده این امکان و انعطاف رو در برنامم گذاشتم. ضمنا بخش اتولاگین خود برنامم بنا به کمبود وقت هنوز جای کار و امنتر شدن داره (بطور مثال مکانیزمهای هوشمندانه تری برای جلوگیری از نفوذ و سرقت لاگین کی میشه درش بکار برد).
مثلا سیستم سشن پی اچ پی درحالت پیشفرض برای ذخیره سازی اطلاعات خودش از فایل در سیستم فایل استفاده میکنه و بنابراین نیازی به ارتباط با دیتابیس نداره و شاید بار پردازشی کمتری داشته باشه و سرعت کمی بیشتری. البته بنظرم زیاد جدی هم نیست، ولی با توجه به وجود این سیستم در پی اچ پی و احتمالا پیاده سازی بهینهء اون و ضمنا استفادهء گسترده ازش، بنده امکان بکارگیریش رو مفید دیدم.

اگر خواستید این آدرس دانلود پروژهء بنده هست که بصورت آزاد و عمومی ارایه شده:
h**p://geocities.com/hamidreza712/hamidreza_register_and_login_system.zip
(ستاره ها رو با حرف t جایگزین کنید)
یک فایل توضیحات فارسی هم داره که بنظرم اطلاعات خوبی هم برای روشن شدن افرادی که کمی مطلع باشن داره و هم پیکربندی و راه اندازی راحت و امن برنامه رو میسر میکنه.
سعی کردم کامنتهای کافی در خود کد هم بدم برای بخشها و بخصوص تنظیمات مختلف برنامه.

اینهم درمورد ضعف سیستم سشن پی اچ پی بطور پیشفرض بخونید بد نیست:
http://www.iranphp.net/index.php?option=com_smf&Itemid=33&topic=1690.0

سلام به دوستان
ممنون از توضیحات همه شما عزیزان همچنین دوست عزیزم فلانی بابت پروژه خوبشون که در دسترس گذاشتند.
پس میشه اینطور نتیجه گرفت که هر کدام از راه های "سیشن و کوکی" به تنهایی امن نیست و اگه که باهم و تلفیقی به کار برند می توانند امنیت بیشتری رو داشته باشند.
یه موضوع دیگه که به اون مشکوک هستم اینه که در زمان اجرا بهتر استارت کار ورود در اسکریپت با سیشن خورده بشه و بعد کوکی ساخته بشه.
اگه درست فهمیدم میشه علتش رو برام بگید .

با تشکر از همه شما عزیزان

اصولا به جز کوکی چه راه دیگر عملی و بی دردسری برای اتولاگین هست؟ تمام این فرومها دارن از کوکیهای طولانی مدت برای اتولاگین استفاده میکنن. اگر کوکی نباشه شما باید مدام پسورد وارد کنید.
اینکه میگن ناامنه یک حرف خیلی کلی هست و تقریبا محتوایی از لحاظ فنی نداره.
امنیت بستگی به چگونگی استفاده و برنامه نویسی شما هم داره.
مثلا اگر کسی پسورد کاربر رو بریزه توی کوکی کار خطایی کرده و ناامنه ناامنه (ولی بسته به مورد خاص، ممکنه خطری هم نداشته باشه! در حالت کلی و استاندارد میگیم که ناامنه). اگر هش کنه باز بهتره. اگر سالت هم بکار ببره بازهم امنتره. اگر مثل پروژهء بنده بجای پسورد یک لاگین کی که طولش از MD5 هم خیلی بیشتره بکار ببره بازهم امنتره. حتی به این روش میشه این کلید رو در هربار احراز هویت کاربر تغییر داد که بازهم سیستم رو امنتر میکنه. ولی شما هش پسورد کاربر رو نمیتونید تغییر بدید (مگر با سالت).

تازه ممکنه ما به درجات حداکثر امنیت در جنبه های مختلفش در هرجایی نیاز نداشته باشیم واقعا (ممکنه هزینه های قابل توجه هم داشته باشه در مواردی).
ضمنا فرقی نمیکنه چنتا کوکی داشته باشیم! از نظر امنیت چندان فرقی نمیکنه سشن باشه یا کوکی خودمون و یا ترکیب هر دو. با یک کوکی هم میشه تمام کارهای مربوط به اتولاگین رو انجام داد . امنیت بستگی به این داره که چی توش ریختیم و سیستم ما چطور کار میکنه.
پس لازم نیست با سشن استارت کنید؛ این گزارهء ساده ربطی به امنیت نداره. واقعیت پیچیده تر و دقیقتر از این حرفهاست و گزاره های واقعی با معنا، معمولا مفصلتر و دقیقتر از این هستن.
ممکنه بعکس سیستم شما ناامن هم بشه! چون شما دوتا سیستم رو که هر دو ضعفهایی و قوتهایی دارن اگر با هم ترکیب کنید، ممکنه بسته به مورد در نهایت ضعفها با هم جمع بشن و برتری داشته باشن بر مزایا و یا بعکس مزایا بیشتر از معایب بشه. تمام اینها بستگی به برنامه و سیستم و مکانیزم و الگوریتم شما داره.
سشن پی اچ پی چیزی نیست جز یک سیستم از پیش آماده شده که هیچ چیزش درجه یک و بهترین هم نیست، جز اینکه خیلی راحته و مراحل و عملیات وابستهء زیادی رو بصورت خودکار درآورده. بنابراین برای برنامه نویسهای مبتدی مفهوم دیگری داره؛ اصولا اکثر برنامه نویسهای مبتدی بدقت و کامل نمیدونن سشن چی هست و برای چه کارهایی تعبیه شده و چطوری کار میکنه. سشن مخصوص اتولاگین هم ساخته نشده، گرچه اینهم یکی از کاربردهاشه. با سشن بعضی دیتای مربوطه به کاربرها رو هم ذخیره میکنن؛ ولی این رو هم میتونیم خودمون بسازیم.
شما میتونید یک سیستم سشن خودتون درست کنید که کاملتر از مال پی اچ پی هم باشه. البته سیستم سشن پی اچ پی هم چون تنظیم شدنی و قابل دستکاری و سازگار کردن هست میتونه برای این منظور بکار بره که کار رو تاحدی آسون و کمتر بکنه. بطور مثال میشه براحتی سشن پی اچ پی رو وادار به ذخیرهء اطلاعاتش در دیتابیس کرد که با اینکار بخش بزرگی از مشکلات امنیتی اون از بین میره (ولی وابسته به دیتابیس میشه و از فرم اصلی خودش درمیاد).
حتی میشه الگوریتم تولید سشن آی دی رو خودمون طراحی کنیم (فرضا با طول بیشتری).
بهرحال هروقت نیاز به انعطاف و تغییرات اساسی و بیشتری داشته باشیم، مجبوریم سیستم خودمون رو درست کنیم و سشن پی اچ پی رو تقریبا کنار بذاریم (حداقل برای هدف اصلی).

سیستم سشن پی اچ پی چیزی نیست جز یک سیستم چند منظورهء از پیش طراحی شده که مزایای عمدش راحت کردن کار و خلاص کردن برنامه نویسان از بسیاری جزییات و عملیات و سیستمهای فرعی مکمل هست. چون این سیستم در داخل پی اچ پی تعبیه شده ممکنه بهینه و سریع باشه.
از بقیهء جهات سشن پی اچ پی هیچ چیز خاصی نداره و تازه همونطور که گفتیم با تظیمات پیشفرض، بحد قابل توجهی بدوی و ناامن هم بنظر میاد. این حرف بنده نیست و رفرنس رسمی داره و خیلی معروف هست (هرچند صداش زیاد درنیامده بحد واقعیتش!).

توجه کنید که این صحبتهای ما بیشتر درمورد قضیهء اتولاگین بوده. کاربرد دیگر سشن که ذخیرهء بعضی اقسام دیتا در بین صفحات کاربر هست مقولهء دیگریست. اگر چنین کاربردی دارید، ممکنه با سشن استارت بکنید یا نکنید و اصلا ازش استفاده بکنید یا نکنید. بازهم همش بستگی به شرایط و نیازها داره و هیچ گزارهء کلی ای در کار نیست!!

ممنون
توضیح کاملی بود و خیلی به من کمک کرد .

با تشکر

خواهش میکنم. فکر کردم بقدر کافی فنی و جزیی نباشه.
اینکه کاملا فهمیدید خیلی خوبه!

سلام

لطفا میشه بگید این تابع isset دقیقا چیکار میکنه
میدونم سوالم مسخره اس
اما نادان نمیداند و نمیپرسد

و این که میشه پارامتر های تابع setcookie را توضیح بدید
مرسی

isset (http://ir.php.net/manual/en/function.isset.php): ورودیش یک متغیر هست. در صورتی که متغیر وجود داشته باشه، مقدار true و در غیر این صورت false رو برمیگردونه.

setcookie (http://ir.php.net/manual/en/function.setcookie.php): یک پارامت واجب و 6 تا پارامتر مستحب داره ;) :
1. اسم کوکی
2. مقدار کوکی
3: تاریخ انقضای کوکی (به واحد ثانیه از مبدأ زمان لینوکس) میتونی از تابع time() استفاده کنی تا ثانیه های الان رو به دست بیاری...
4. آدرس فولدری در سرور که کوکی میتونه فقط در اون فولدر استفاده بشه. مثلا:


setcookie("name","value",time()+24*60*60,"/tabib_m/");

نتیجه ی کد فوق یک کوکی با نام name و مقدار value هست که در یک روز بعد از بین میره و فقط در پوشه ی tabib_m از سرور قابل استفاده است ...
5. دومین یا سابدومینی که میخوای کوکی داخل اون استفاده بشه. اگر اسم یک سابدومین رو بنویسی فقط توی همون سابدومین دسترسی به کوکی داری و اگر مثلا بنویسی example.com ، کوکی در همه ی سابدومین ها قابل استفاده س و اگر بنویسی www.example.com کوکی فقط در www قابل استفاده س...
6. اگر مقدارش true باشه، کوکی فقط در آدرس های امن قابل استفاده میشه. برای اطلاعات بیشتر به اینجا (http://www.google.com/search?q=secure+connections) مراجعه کنید... (مقدار پیشفرض false هست)
7. این پارامتر مربوط به php 5.2.0 هست که نیازمند پشتیبانی مرورگر هم هست (بعضی ها پشتیبانی نمیکنند) و کارش اینه که در صورتی که مقدارش true باشه، کوکی فقط در خود Php قابل استفاده س و دیگه نمیشه با زبانی مثل javascript به کوکی دسترسی داشت که باعث جلوگیری از حملات XSS میشه و امنیت رو میبره بالاتر...

موفق باشید.