skuteczne wylogowanie

Question

Mam w php system logowania na kontoskładający sie ze strony logowanie.php gdzie wpisuje sie login i hasło
oraz ze strony konto.php gdzie po poprawnym zalogowaniu pokazuje sie zawartość. Jest tam też odnośnik "wyloguj" który przerzuca użytkownika do logowanie.php. Jeśli by wtedy wpisac w pasku adresu konto.php nie zostaniemy wpuszczeni bo na początku jest if statement który przerywa skrypt jesli brak zmiennej $_POST['haslo'] lub $_POST['logi'].
Jeśli jednak po wylogowaniu cofnę się strzałką przegladatki do poprzedniej strony i odświeżę konto.php pokazuje mi się zawartość. Jakim kodem zabezpieczyć taką sytuację?

Krzysiek

Comments

Bardzo dziękuję  wszystkim za odpowiedzi i mam pytanie poboczne związane z tematem odnośnie zmiennych sesyjnych. Przegryzam się przez temat i zauważyłem że Zalent ustanawia zmienną np $_SESSION['zalogowany']=true a potem ustawia warunek if ((isset($_SESSION['zalogowany']))  &&( $_SESSION['zalogowany']=true) ). Po co uzywać drugiego warunku: "$_SESSION['zalogowany']=true" skoro nie zmienia on w kodzie wartości tylko robi unset całej sesji lub zmiennej. Czyliwarunikiem jest istnienie lub nie zmiennej sesyjnej, ponieważ zaś żeby ustawić zmienną trzeba podac jej wartość stąd została podana wartość true.

---

Coś chyba pomyliłeś. Powinno być raczej

if(isset($_SESSION['log']) && $_SESSION['log']==true) // ...

Dwa "==", a nie jedno "=". Na początku gdzieś w kodzie pewnie ustawia $_SESSION['log']=true; - inicjalizacja zmiennej na daną wartość. Później można sprawdzić, czy ta zmienna istnieje i czy ma wartość true. Jeśli tak, to wtedy wykonaj coś tam.

---

Oczywiście powinno byc "==", sorki. Moje pytanie brzmi po co sprawdzać warunek czy zmienna ma wartość true zamiast sprawdzać tylko czy istnieje. Nigdzie w kodzie nie ma zmiany wartości zmiennej na inną, jest tylko ustanawianie zmiennej lub usuwanie zmiennej (set/unset) więc drugi warunek wydaje sie być bez sensu. To mnbie nurtuje

---

Nie wiem, jak wygląda cały kod, ale możliwe, że akurat, to co mówisz jest prawdą, że sprawdzanie, że $_SESSION['log']==true; mija się z celem/nie jest potrzebne. Wyobraź sobie sytuację, kiedy $_SESSION['log'] przybierałaby dwie wartości: online, offline. I teraz, jeśli by się nie przyrównało w warunku, czy $_SESSION['log']==true, to wtedy nie byłoby wiadomo, czy ten użytkownik jest online, czy offline, ponieważ ta zmienna i tak istnieje, nie ważne z jaką wartością. Dla zobrazowania kod poniżej.

if(isset($_SESSION['log']) && $_SESSION['log'] == true) {
  echo 'User is online.';
} else if(isset($_SESSION['log']) && $_SESSION['log'] == false) {
  echo 'User is offline.';
}

lub

if(isset($_SESSION['log']) && $_SESSION['log'] == 'online') {
  echo 'User is online.';
} else if(isset($_SESSION['log']) && $_SESSION['log'] == 'offline') {
  echo 'User is offline.';
}

Gdybyś napisał tak

if(isset($_SESSION['log'])) {
  echo // ...
} // ...

to skąd by się wiedziało, czy użytkownik jest zalogowany, czy nie skoro ta zmienna istniałaby dla zarówno wartości np. true jak i false.

Jeśli zaprojektowałoby się ten mechanizm, że jeśli sesja istnieje - zalogowany, nie istnieje - niezalogowany, to nie trzeba byłoby tego drugiego warunku pisać z $_SESSION['log'] == true.

Jeśli chodzi o kod z filmu Zelenta, to możliwe, że ten warunek nie jest w ogóle potrzebny, ale to musiałbyś sam zweryfikować i ten kod przeanalizować.

---

Wielkie dzięki. Zatem wydaje sie że się nie myliłem uważając że drugi warunek jest bez sensu bo w istocie zalent proponuje taki mechanim "że jeśli sesja istnieje - zalogowany, nie istnieje - niezalogowany". Kodu nie podam bo to w dwu plikach jest ale jest to pokzane dokładnie tu i głowiłem sie nad tym o co tu chodzi.

od momentu ponizej 2 minuty
https://youtu.be/Pp578w7C9hE?t=4164

od momentu ponizej piewrsza minuta
https://youtu.be/Pp578w7C9hE?t=4442

---

"że jeśli sesja istnieje - zalogowany, nie istnieje - niezalogowany"

Jeśli tak jest jak opisałeś w tym kodzie, to te przyrównanie jest raczej niepotrzebne (na filmik na youtube spojrzałem pobieżnie). Chyba, że ktoś chciałby w przyszłości rozbudować skrypt i zostawiłby tak tę zmienną przyrównaną, to czemu nie.

W skrócie. Jeśli to działa na zasadzie zniszczenia sesji i wtedy będzie user niezalogowany i utworzenia sesji - zalogowany, to tak ten warunek drugi w if jest niepotrzebny. Jest tak dlatego, że mechanizm ten opiera się o znieszczenie sesji, a nie o sprawdzenie konkretnych wartości pochodzących ze zmiennej sesyjnej.

Trzeba tylko pamiętać o tym, że żeby pisało niezalogowany musisz zniszczyć sesję $_SESSION['zalogowany'], a nie tylko zmienić wartość tej sesji na np. false ($_SESSION['zalogowany'] = false), bo wtedy to nie zadziała zgodnie z zamierzeniem.

Answer 1

Masz źle zaprojektowany system autoryazcji. Co zrobisz w przypadku posiadania więcej stron niżeli konto.php, które wymagają autoryzacji? Przekażesz $_POST z konto.php na np. dashboard.php?

Przerzuć się na sesje. Gdy już to zrobisz, przycisk wylogowania nie będzie tylko przekierowywał na stronę logowania, co jest drugorzędną funkcjonalnością, ale też usuwał sesję zalogowanego użytkownika.

https://www.php.net/manual/en/reserved.variables.session.php

https://www.developerdrive.com/adding-a-simple-authentication-using-php-require-and-includes/ <- Poradnik. Jakość kodu jest bardzo kiepska, dlatego skup się na działaniu sesji w przykładach z tego posta i zrób to jak należy.

Answer 2

Sesja jest potrzebna między innymi po to, żeby zsynchronizować obie części aplikacji internetowej (w tym wypadku w postaci strony dynamicznej) klient-serwer. Nie można dopuścić żeby ktoś na przeglądarce połączył się z sesją innego użytkownika na serwerze. Synchronizacji dokonuje się przez zapisanie w obu częściach programu numeru sesji. Może to być robione na trzy sposoby.

jako tak zwane ciasteczka
jako numer przekazywany w adresie strony, parametr na końcu
jako pole ukryte zmiennej formularza

Najbardziej podoba mi się sposób trzeci, bo nie zmuszasz użytkownika do używania ciasteczek, co do których są podejrzenia że służą do śledzenia działań użytkownika. Nieprzyjemne jest gdy serwer wymusza ciasteczka dając komunikat "włącz ciasteczka bo inaczej się nie zalogujesz".