Форум PHP

Для начала я поясню порядок своих действий, а затем задам Вам вопрос.
Я делаю у себя на сайте авторизацию посетителей. Заношу их в БД. В нее вносятся как пароль, логин, данные посетителя, а также id_session. На главной странице я использую текущую session_id() и определяю ее с сессией в БД. Если она равна, значит вывожу к примеру сообщение "Здравствуйте".$login. Переменная $login взяты из базы, что нетрудно догадаться.
Так вот, теперь вопрос. Когда я каждый раз захожу на свой сайт, id_session каждый раз меняется. Как же мне быть. Может быть тогда заносить в БД не сессию, а ip компьютера и проверять именно ip компьютера посетителя? Но тогда зачем вообще нужны сессии?! Эта тема для меня новая, поэтому я не совсем понимаю зачем тогда они вообще нужны. Да, я согласен что они используются для опеределения "где шатается пользователь". Но тогда как же быть с проверкой "кто вошел на сайт"?

Тутже у меня сложился еще один вопрос. Если каждый раз сессии создаются в отдельном файле, то их будет слишком много. Так надо наверное как-то их оттуда очищать. Но каким образом? Помогите пожалуйста с этими вопросами, или дайте что-нибудь почитать.

Мне хотельсь бы организовать вход, выход так как у вас на форуме.

Тутже у меня сложился еще один вопрос. Если каждый раз сессии создаются в отдельном файле, то их будет слишком много. Так надо наверное как-то их оттуда очищать. Но каким образом? Помогите пожалуйста с этими вопросами, или дайте что-нибудь почитать.

Вам заботиться об этом не надо, они сами удаляются через какое-то время (установленное на сервере, обычнго 15 минут, по-моему)

Сессии в PHP используют cookie. Возможно и Вашем случае будет удобно использовать их. Клиенту нужно подсунуть куки, где будет записан идентификатор его сессии, ( ну и например логин и хэш-пароля).

Вообще на сколько я знаю надо сверять не sesson_id и ip, а логин и пароль. Логин и пароль можно хранить как раз в сессиях

На этом форуме используются сессии. В сессиях хранится логин и пароль. Тот, кто использует Opera может проверить, (Tools->Advanced->Cookies).
Я в свое время делал подобную авторизацяю с использованием cookie.
Но вместо пароля хранил его хэш.

А каким образом можно логин и пароль хранить в сессиях? Как их потом оттуда вытащить и проверить. Опишите пожалуйста подобные действия.

Для начала сесси нужно выполнить следующие действия.

# начало сессии session_start(); # регистрация переменной в сессии session_register("login"); session_register("pass");

Это можно например сделать в скрипте который проверяет логин и пароль, а параметры login и pass - это параметры передаваемые скрипту.

не понятно что вызывает трудность. после запуска функции session_start() все сессии доступны

$_SESSION['login']; $_SESSION['pass'];

Может что не так понял

Если я правильно понял, то я запрашиваю на форме логин и пароль пользователя, заношу эти данные в базу и в сессии, а заметем когда он повторно будет влезать проверяю эти данные. Так что ли? Но если сессии каждый раз меняются, и как вы сказали они имеют свойство самоуничтожаться через опеределенное время, то уничтожатся ли логин и пароль в сессии?

Сессия она на то и сессия, чтобы хранить какие-либо значения без изменения в течение некоторого времени.
А если сессия удалена, что легко проверить, то пользователя нужно вежливо пороисть снова ввести логин и пароль.

В общем делать надо так (предположим, что у нас форум)

login.php (login.php?login=...&pass=...) <? # проверка значение $login и $pass # все правильно введено, то стартуем сессию session_start(); session_register("login"); session_register("pass"); ?> topic.php <? # стартуем сессию session_start(); # теперь (как заметил Ziq) можно использовать массив $_SESSION if (isset($_SESSION['login']) && isset($_SESSION['pass'])) {   # какие-то действия } ?>

Важно, до вызова session_start() не должно быть вывода, так как функция посылает HTTP-заголовок.

Спасибо, кое что прояснилось. А теперь скажите пожалуйста как мне сделать выход на сайте. Если пользователь захочет выйти из сессии и работать скажем в режиме "гостя".

session_destroy()

Сделать вызов

<? unset($_SESSION['login']); unset($_SESSION['pass']); ?>

И после этого пользователю снова придется ввести свои данные для входа.

session_destroy() и правильнее и короче, кроме того session_register уже устарело и используют $_SESSION['key'] = $value;

Согласен. Но только в борьбе за краткость надо не переусердствовать.
Использование такой вот вещи:

<? unset($_SESSION); ?>

прекратит регистрацию сессий через массив $_SESSION (для начинающих работать с сессиями).

а такой вопрос.. получается что юзер может поменять переменную $_SESSION['login'] например, всего лишь поменяв её значение в кукисах??... т.е. на каждой персонифицированной странице надо обращаться к бд и проверять на соответствие Login и pass которые передаются в массиве $_SESSION??

p.s. а вы не могли б мне свою систему авторизации кинуть? а то я ща как раз с этим разбираюсь? vjk@yandex.ru)

Я допустил ошибку "логин и пароль хранятся в сессии". Что там хранится в сессии известно только программистам этого форума. Сессии хранятся в виде файлов в специальном каталоге на сервере. Пароль и логин на этом форуме хранятся в виде куки (дабы использовать эти данные для разрешения доступа). Наличие куки с верными данными дает нам персонифицированный доступ страницам форума. Но вместе с этим в отдельном куки хранится идентификатор сессии пользователя (так устроен механизм сессий).

Конечно же пользователь не в силах поменять напрямую значения сессий (это делают скрипты).

Моя "система авторизации" вообще не использует сессии. Пароль (его хэш) и логин хранятся в куки. Я вышлю пример, но там все достаточно запутаный код, можно даже сказать кривоватый. Плюс ко всему я потерял файл с SQL для БД, но если вы посмотрите скрипты, я думаю, сможете написать SQL. Просьба не судить строго, так как создавалась эта система ради эксперимента.

На сколько я помню меня подтолкнула к этому эксперименту книга "PHP5. Практика создания web-сайтов". Рекомендую.

Да я по ней и тренируюсь)) я даж када в магазе был, её одной тетеньке порекомендовал) классная книженция)) а значит чтобы идентифицировать посетителя можно просто зарегистрировать какую-нить переменную сессии и на каждой странице просто проверять, установлена она или нет???.. а я вот ваще по id это делаю.. т.е каждому юзеру имеющему правда доступа свой пароль и логин назначается id.. и его я и регистрирую в переменные сессии.. это хороший способ авторизации?

Это излишне, ведь мы пользователю подсовываем куки. В куки находится его имя (логин), которое само по себе - уникальный идентификатор. В книге (стр. 755-757) показано как проводится авторизация с помощью cookies. В дальнейшем значения из cookie добавляются, например, в hidden-поля форм. А скрипты-обработчики этих форм проверяют по базе данных эти значения и выполняют те или иные действия (как добавление темы) только при наличии этих данных в базе.

Уф, что-то как-то у вас все сложно)) Если не ошибаюсь, автору темы необходим алгоритм простейшей авторизации. А выглядит он примерно так:
В cookie хранятся логин и пароль (можно хеши). При запросе какой-либо страницы сайта проверяется, стартована ли сессия (например, путем проверки существования переменной $login). Если нет, то из cookie берутся логи и пароль, сверяются с БД. Если все ок, устанавливается уже сессионная переменная с логином (и другие, если надо).
В итоге сессия запускается только для зарегистрированных пользователей, в ней хранится логин, при этом запрос к БД происходит один раз для одного пользователя.