Автологин при авторизации с использованием сессий

[LARK]

При использовании сессии правильным будет подход, когда сеанс авторизации длится до закрытия браузера. По умолчанию оно так и есть.

Но если очень хочется сделать автологин, можно попробовать следующее.

Во-первых, в основных настройках сайта должна быть включена опция «Использовать для авторизации сессии вместо cookies»

Во-вторых надо сделать этот фикс: "Исправление ошибки авторизации при использовании сессий вместо cookies"

Далее, если у вас не используется для вашего сайта отдельная директория для сессий, создайте наравне с корневой директорией сайта отдельную папку. Например, /sessions/ . Это важно, так как если сессии на хостинге хранятся в общей папке (как правило, /tmp), то другие скрипты будут очищать эту папку, в большинстве случаев, по стандартному таймауту (30 минут).

Далее опять открываем файл /include/common.php и перед строкой (она появится после вышеуказанного фикса)

PHP код:

session_name($rcxConfig['session_name']); 


пишем

PHP код:

$session_path = $_SERVER['DOCUMENT_ROOT'] . '/../sessions';
session_save_path($session_path);
ini_set('session.gc_maxlifetime', (int)$rcxConfig['session_expire']); // Если разрешена функция ini_set()
session_set_cookie_params((int)$rcxConfig['session_expire']); 


ну, и следим, чтобы папка /sessions/ излишне не разрасталась, подстраивая время сессии.

У вас должна быть разрешена функция ini_set(), иначе параметр session.gc_maxlifetime можно поменять через .htaccess (опять же если разрешено), добавить нужное время в секундах

Цитата:

php_value session.gc_maxlifetime 1440

----

Также, можно сделать еще один незначительный фикс

найти строку

PHP код:

@session_cache_expire($session_cache_expire); 


и поменять ее на

PHP код:

@session_cache_expire($session_cache_expire / 60); 


так как время там задается в минутах, а не секундах

[ZlydenGL]

Вот это оперативность!!! Эх, жаль, возможность прибавить репутацию нету Обязательно внедрю, спасибо, LARK!!!

Два вопроса:
1. Получается, что перевод пункта "Время нахождения на сайте (в секундах) перед автоматическим исключением пользователя из системы" неправильный, нужно его дополнить, что он относится только к сессиям, и интервал его отработки - в минутах?

2. Почему вместо обращения к константе XOOPS_ROOT_PATH приходится использовать $_Server?

[LARK]

1) Он относится к кукам и сессиям, но для сессий без хака это время бесполезно.
Нет в секундах. Просто в session_cache_expire минуты используются

2) Можно и XOOPS_ROOT_PATH это одно и тоже

[ZlydenGL]

Третий вопрос для комплекту: разрешение на /sessions вешать 777 или 664 будет достаточно?

Почему спрашиваю - если подойдет и 664 (или вообще 660), то папку /sessions можно будет положить в саму папку сайта. Понятно, что это не столь секурно, но на части хостеров нет возможности на вирте создать папку рядом www или httpdocs.

[LARK]

760 должно подойти. Не все хостеры разрешают 660 ставить. В корне сайта папку для сессий сделать можно, хотя и не безопасно. В этом случае нужно положить в нее .htaccess с Deny from all

[ZlydenGL]

И надеюсь последние 2 вопроса:
1. При переключении с одного режима авторизации на другой пользователям придется повторить процедуру авторизации при входе на сайт?

2. Ты сам бы какой способ порекомендовал для аутентификации (предполагая, что от SQL инъекций код Рони в достаточной степени экранирован)?

[LARK]

Цитата:

Сообщение от ZlydenGL 1. При переключении с одного режима авторизации на другой пользователям придется повторить процедуру авторизации при входе на сайт?

придется логиниться заново.

Цитата:

Сообщение от ZlydenGL 2. Ты сам бы какой способ порекомендовал для аутентификации (предполагая, что от SQL инъекций код Рони в достаточной степени экранирован)?

Все зависит от направленности проекта. Сессии естественно безопаснее. Если есть уверенность что от SQL инъекций портал надежно защищен, то можно и авторизацию на куках оставить. Если сайт связан с денежными транзакциями, например там магазин, то лучше сессии, причем со временем сеанса только до закрытия браузера, плюс добавить в формирование хеша IP и USER AGENT