PHP - Dwa pytania odnośnie sesji.

Question

Witam,

Mam do was 2 pytania, czy używacie session_unset czy session_destroy(); w swoich projektach?

I jakie wartości ustawiacie zazwyczaj gdy user się zaloguje poprawnie? Bo raczej hasła w sesji nie trzymacie?

Pozdrawiam

 

		public function loginUser($login, $pass){
			if($_SESSION['login'] == NULL){
				if(preg_match('@^[A-z0-9]{5,20}$@', $login)){
					$userLogin = $this->conn->prepare('SELECT * FROM users WHERE login = :login AND password = :pass');
					$userLogin->bindValue(':login', $login, PDO::PARAM_STR);
					$userLogin->bindValue(':pass', md5($pass), PDO::PARAM_STR);
					$userLogin->execute();
					
					if($userLogin->rowCount() == 1){
						$_SESSION = $userLogin->fetch(PDO::FETCH_ASSOC);
						$this->makeLog($_SESSION);
						header('Location: ./index.php?id=member');
					} else {
						echo '<div class="alert alert-danger"><b>Error!</b> Login or password is incorrect.</div>';
					}
				} else {
					echo '<div class="alert alert-danger"><b>Error!</b> Login or password is incorrect.</div>';
				}
			} else {
				echo '<div class="alert alert-danger"><b>Error!</b> You are already logged in.</div>';
			}
		}

 

Answer 1

czy używacie session_unset czy session_destroy(); w swoich projektach?

To są dwie różne rzeczy, więc zależy od potrzeb. Spójrz do dokumentacji tych funkcji, jest dokładnie opisane.

I jakie wartości ustawiacie zazwyczaj gdy user się zaloguje poprawnie? Bo raczej hasła w sesji nie trzymacie?

Nie. Wystarczy chociażby id użytkownika bądź coś innego co umożliwi Ci zidentyfikowanie kto jest zalogowany.

PS źle hashujesz hasło, md5 już dawno się do tego nie używa. Zobacz na password_hash/password_verify i bcrypt/argon2i. 

Comments

Dzięki śliczne za password_hash, poczytam sobie w dokumentacji! :) PS. password_hash ma stałą określoną długość stringa jak md5(32)?

---

Nie, zależy od algorytmu: https://www.php.net/manual/en/function.password-hash.php#refsect1-function.password-hash-description