Ivan Pomykacz
2 months ago
7 changed files with 139 additions and 1 deletions
@ -1,2 +1,76 @@ |
|||
# sessions |
|||
# PHP sessions |
|||
|
|||
Princip SESSIONS spočívá v použití _cookies_ na straně uživatele (prohlížeče) a speciáního souboru na straně serveru. |
|||
|
|||
Při opakované návštěvě stránek prohlížeč odešle společně s požadavkem na stránku i _cookie_ vázané ke stejné doméně. Server se pak podívá mezi soubory, zdali tam není takový, který by nesl stejný identifikátor, jako je uložený v _cookie_. |
|||
|
|||
To znamená, že prohlížeč si pamatuje, že jste na stránce byli, a pokud tu informaci pošle serveru, tak si vzpomene i server a dojde k navázání sezení, které proběhlo v minulosti. |
|||
|
|||
Proč _cookies_ vůbec vznikly? |
|||
|
|||
Ukázalo se praktické pro server/vývojáře vědět, zdali ten, kdo se z prohlížeče dívá na stránku `http://localhost:8080/auto.php` je táž osoba, která zrovna klikla na `http://localhost:8080/motorka.php`. |
|||
|
|||
- Jak je vidět, je to stejný server/doména `localhost`. |
|||
- Ovšem jiná URL (stránka) (`auto.php` nebo `motorka.php`) |
|||
- Díky session můžeme poznat, že jde o stejného uživatele |
|||
|
|||
A proč to vývojář tak potřebuje vědět? |
|||
|
|||
Předtím, než cookies znásilnily reklamní systémy a jiné marketingové nástroje to mělo, a tedy stále má (to jsou ty tzv. _funkční_ cookies, které nejde "vypnout") funkci např. pamatovat si zdali je uživatel přihlášený a podle toho mu nabídnout obsah, který s tím souvisí. |
|||
|
|||
## Implementace |
|||
|
|||
Chceme-li použít sessions, je třeba v každém skriptu, který se volá přes URL (např. [index.php](./index.php) nebo [login.php](./login.php)) zavolat funkci `session_start()`. |
|||
|
|||
Všimněte si, že např. v souboru [content.php](./content.php) zmíněná funkce není. To proto, že se tento souboru vkládá pomocí `include` v souboru `index.php` (nepřistupuje se k němu přímo z URL). |
|||
|
|||
Jakmile zavoláme funkci `session_start()`, máme dostupnou super globální proměnnou `$_SESSION`. A můžeme např. zjistit, zdali je uživatel přihlášený. |
|||
|
|||
```php |
|||
if (isset($_SESSION['login'])) { |
|||
$user_is_logged = true; |
|||
} |
|||
``` |
|||
|
|||
Pozor ovšem, `$_SESSION['login']` je námi vytvořená hodnota, ovšem v tomto textu je popsaná o pár odstavců dál. |
|||
|
|||
Jak si můžete všimnout ve skriptu `index.php`, využíváme pak novou proměnnou `$user_is_logged` pro rozhodování, jaký obsah uživateli zobrazíme - zdali formulář nebo obsah dostupný pouze pro přihlášeného uživatele. |
|||
|
|||
### Ukázka využití - přihlášení |
|||
|
|||
Není-li uživatel přihlášený, zobrazí se mu formulář. |
|||
Po jeho odeslální dojde k ověření (autentizaci) ve skriptu [login.php](./login.php). |
|||
|
|||
Ignorujme pro teď fakt, že jsme se dopustili fatálního přešlapu tím, že jsme přihlašovací údaje vložili přímo do skriptu. |
|||
|
|||
Nicméně, bude-li autentizace úspěšná, uloží se přihlásovací jméno do session. |
|||
|
|||
```php |
|||
$_SESSION["login"] = $_POST["login"]; |
|||
``` |
|||
|
|||
Následně se provede přesměrování zpět na výchozí stránku. |
|||
|
|||
```php |
|||
header("Location: /index.php"); |
|||
``` |
|||
|
|||
### Cookies |
|||
|
|||
Podíváte-li se do "Developer console" (F12), uvidíte mezi "Cookies" navštívenou stránku. |
|||
|
|||
 |
|||
|
|||
Cookie nese název `PHPSESSID` |
|||
|
|||
Poměrně zásadní fakt je, že cookie nese pouze hodnotu nějakého identifikátoru, zde `32965ff632572288af24f0f007393efa`. Nic víc. |
|||
|
|||
|
|||
Na serveru se pak vytvořil soubor `sess_32965ff632572288af24f0f007393efa`, který má v názvu týž identifikátor. |
|||
|
|||
 |
|||
|
|||
Důležité je, že identifikátor zná pouze klient (prohlížeč) a server. Ideálně nikdo další není zainteresován. |
|||
|
|||
A ano, pokud někdo zjistí např. tuto hodnotu `32965ff632572288af24f0f007393efa`, tak jeho šance na získání vašeho sezení se astronomicky zvýšily. Otázkou pak je, k čemu ten identifikátor byl ... e-shop? sociální síť? banka? |
|||
|
|||
|
|||
@ -0,0 +1,14 @@ |
|||
<?php |
|||
|
|||
if (!isset($user_is_logged) || !$user_is_logged) { |
|||
die('Přístup zamítnut'); |
|||
// or do something else, like redirect to login page: |
|||
// header('Location: /index.php'); |
|||
// exit(); |
|||
} |
|||
|
|||
?> |
|||
|
|||
<p> |
|||
Tento obsah je dostupný pouze pro přihlášené uživatele. |
|||
</p> |
|||
|
After Width: | Height: | Size: 38 KiB |
|
After Width: | Height: | Size: 4.6 KiB |
@ -0,0 +1,34 @@ |
|||
<?php |
|||
|
|||
session_start(); |
|||
|
|||
$user_is_logged = false; |
|||
|
|||
if (isset($_SESSION['login'])) { |
|||
$user_is_logged = true; |
|||
} |
|||
|
|||
?> |
|||
<!DOCTYPE html> |
|||
<html lang="cs"> |
|||
|
|||
<head> |
|||
<meta charset="UTF-8"> |
|||
<meta name="viewport" content="width=device-width, initial-scale=1.0"> |
|||
<title>PHP Sessions</title> |
|||
</head> |
|||
|
|||
<body> |
|||
|
|||
<?php |
|||
if ($user_is_logged) { |
|||
include 'content.php'; |
|||
} |
|||
else { |
|||
include 'login_form.php'; |
|||
} |
|||
?> |
|||
|
|||
</body> |
|||
|
|||
</html> |
|||
@ -0,0 +1,11 @@ |
|||
<?php |
|||
|
|||
session_start(); |
|||
|
|||
if ($_POST["login"] == "admin" && $_POST["password"] == "heslo") { |
|||
$_SESSION["login"] = $_POST["login"]; |
|||
} else { |
|||
session_destroy(); |
|||
} |
|||
|
|||
header("Location: /index.php"); |
|||
@ -0,0 +1,5 @@ |
|||
<form name="login" action="/login.php" method="post"> |
|||
<input type="text" name="login" placeholder="Login"> |
|||
<input type="password" name="password" placeholder="Heslo"> |
|||
<button type="submit">Přihlásit</button> |
|||
</form> |
|||
Loading…
Reference in new issue