Форум PHP

Это излишне, ведь мы пользователю подсовываем куки. В куки находится его имя (логин), которое само по себе - уникальный идентификатор. В книге (стр. 755-757) показано как проводится авторизация с помощью cookies. В дальнейшем значения из cookie добавляются, например, в hidden-поля форм. А скрипты-обработчики этих форм проверяют по базе данных эти значения и выполняют те или иные действия (как добавление темы) только при наличии этих данных в базе.

Да я по ней и тренируюсь)) я даж када в магазе был, её одной тетеньке порекомендовал) классная книженция)) а значит чтобы идентифицировать посетителя можно просто зарегистрировать какую-нить переменную сессии и на каждой странице просто проверять, установлена она или нет???.. а я вот ваще по id это делаю.. т.е каждому юзеру имеющему правда доступа свой пароль и логин назначается id.. и его я и регистрирую в переменные сессии.. это хороший способ авторизации?

Я допустил ошибку "логин и пароль хранятся в сессии". Что там хранится в сессии известно только программистам этого форума. Сессии хранятся в виде файлов в специальном каталоге на сервере. Пароль и логин на этом форуме хранятся в виде куки (дабы использовать эти данные для разрешения доступа). Наличие куки с верными данными дает нам персонифицированный доступ страницам форума. Но вместе с этим в отдельном куки хранится идентификатор сессии пользователя (так устроен механизм сессий).

Конечно же пользователь не в силах поменять напрямую значения сессий (это делают скрипты).

Моя "система авторизации" вообще не использует сессии. Пароль (его хэш) и логин хранятся в куки. Я вышлю пример, но там все достаточно запутаный код, можно даже сказать кривоватый. Плюс ко всему я потерял файл с SQL для БД, но если вы посмотрите скрипты, я думаю, сможете написать SQL. Просьба не судить строго, так как создавалась эта система ради эксперимента.

На сколько я помню меня подтолкнула к этому эксперименту книга "PHP5. Практика создания web-сайтов". Рекомендую.

Уф, что-то как-то у вас все сложно)) Если не ошибаюсь, автору темы необходим алгоритм простейшей авторизации. А выглядит он примерно так:
В cookie хранятся логин и пароль (можно хеши). При запросе какой-либо страницы сайта проверяется, стартована ли сессия (например, путем проверки существования переменной $login). Если нет, то из cookie берутся логи и пароль, сверяются с БД. Если все ок, устанавливается уже сессионная переменная с логином (и другие, если надо).
В итоге сессия запускается только для зарегистрированных пользователей, в ней хранится логин, при этом запрос к БД происходит один раз для одного пользователя.

а такой вопрос.. получается что юзер может поменять переменную $_SESSION['login'] например, всего лишь поменяв её значение в кукисах??... т.е. на каждой персонифицированной странице надо обращаться к бд и проверять на соответствие Login и pass которые передаются в массиве $_SESSION??

p.s. а вы не могли б мне свою систему авторизации кинуть? а то я ща как раз с этим разбираюсь? vjk@yandex.ru)

Согласен. Но только в борьбе за краткость надо не переусердствовать.
Использование такой вот вещи:

<? unset($_SESSION); ?>

прекратит регистрацию сессий через массив $_SESSION (для начинающих работать с сессиями).

session_destroy() и правильнее и короче, кроме того session_register уже устарело и используют $_SESSION['key'] = $value;

Сделать вызов

<? unset($_SESSION['login']); unset($_SESSION['pass']); ?>

И после этого пользователю снова придется ввести свои данные для входа.

session_destroy()

Спасибо, кое что прояснилось. А теперь скажите пожалуйста как мне сделать выход на сайте. Если пользователь захочет выйти из сессии и работать скажем в режиме "гостя".