Внимание! Форум временно закрыт. Все вопросы вы можете задать на странице MaxSite CMS в Github

Логиним комюзера через сессию

Только для тех, кто понимает.
RomanS
Сообщений: 140
Зарегистрирован: 25 апр 2011, 19:15

Логиним комюзера через сессию

Сообщение RomanS » 29 июл 2014, 22:56

Переделываю логинацию и с ужасом натолкнулся на то что у комюзеров пароль, почта и мыло передается через кук а не сессию. %(

Кто нибудь переделывал, этот крайне не безопасный метод логирования для комюзеров и зачем вообще такое сделали?

И ещё вопрос по теме, как перезаписать сессию у комюзер, например после обновления личной страницы, Ник при комментировании остается тоже, что бы его поменять нужно залогинится снова.

Аватар пользователя
vimruler
Сообщений: 401
Зарегистрирован: 13 май 2009, 09:31

Re: Логиним комюзера через сессию

Сообщение vimruler » 30 июл 2014, 03:34

RomanS писал(а):Кто нибудь переделывал, этот крайне не безопасный метод логирования для комюзеров и зачем вообще такое сделали?


Думаю, что скорее всего так глубоко никто не правит движок, ибо чревато сложностями при обновлении. Будет интересно глянуть на ваш вариант кода. Сможете его опубликовать здесь или на http://maxhub.ru ?

RomanS писал(а):И ещё вопрос по теме, как перезаписать сессию у комюзер, например после обновления личной страницы, Ник при комментировании остается тоже, что бы его поменять нужно залогинится снова.


Есть такая проблема. Она не только у комюзера, но и у админов наблюдается. Наверно подразумевается, что имя задаётся один раз и на всю жизнь.

RomanS
Сообщений: 140
Зарегистрирован: 25 апр 2011, 19:15

Re: Логиним комюзера через сессию

Сообщение RomanS » 30 июл 2014, 17:14

Да я переписал процентов 60, комменты, функции работы с юзерами - очень много мусора и дыр.

Куки явно попытка что то обойти. Потому что пытаюсь записать инфу в сессию, вместо кук - но в инициализации она уже пустая. Значит где-то по процессу когда логинится комюзер - сессия затирается.

Кстати, юзер сразу пишится в сессию, а комюзер работает через кук.

Аватар пользователя
vimruler
Сообщений: 401
Зарегистрирован: 13 май 2009, 09:31

Re: Логиним комюзера через сессию

Сообщение vimruler » 30 июл 2014, 17:32

RomanS писал(а):Да я переписал процентов 60, комменты, функции работы с юзерами - очень много мусора и дыр.


Коллега, позвольте полюбопытствовать - а какова ваша глобальная цель такого переписывания? Только для личного пользования или сообществу тоже что-то покажете?

RomanS
Сообщений: 140
Зарегистрирован: 25 апр 2011, 19:15

Re: Логиним комюзера через сессию

Сообщение RomanS » 30 июл 2014, 18:20

Я переписывал под свои проекты, а что интересует?

Но вопрос по комюзерам не закрыт, я все таки не пойму где стирается сессия и зачем эту процедуру нужно было делать.

Аватар пользователя
vimruler
Сообщений: 401
Зарегистрирован: 13 май 2009, 09:31

Re: Логиним комюзера через сессию

Сообщение vimruler » 30 июл 2014, 19:30

RomanS писал(а):Я переписывал под свои проекты, а что интересует?


Всё интересует, любые подробности! :) Просто я сам и несколько коллег занимаемся на досуге переписыванием разных фрагментов движка и вот хотелось бы как-то упорядочить эти правки, наладить обмен мнениями, чтобы не приходилось делать одну и ту же работу всем по много раз. Может вы могли бы изложить ваши мысли с примерами кода на http://maxhub.ru ? Думаю, что не только я был бы вам благодарен.

Аватар пользователя
Cuprum
Модератор
Сообщений: 766
Зарегистрирован: 01 фев 2009, 21:22

Re: Логиним комюзера через сессию

Сообщение Cuprum » 30 июл 2014, 22:51

vimruler писал(а):Просто я сам и несколько коллег занимаемся на досуге переписыванием разных фрагментов движка и вот хотелось бы как-то упорядочить эти правки, наладить обмен мнениями, чтобы не приходилось делать одну и ту же работу всем по много раз.

Это дальнейшее развитие или переделки "под себя"?

Аватар пользователя
vimruler
Сообщений: 401
Зарегистрирован: 13 май 2009, 09:31

Re: Логиним комюзера через сессию

Сообщение vimruler » 31 июл 2014, 03:18

Cuprum писал(а):Это дальнейшее развитие или переделки "под себя"?


Лично мои переделки обычно носят характер дальнейшего развития :) Да ты и сам можешь всё видеть - я выкладываю в паблик все свои наработки. Но мне периодически рассказывают про переделки «для себя» и по некоторым я бы не прочь подумать и поддержать их включение в движок. Правда народ пока стесняется делиться наработками, вот и приходится лично каждого просить :(

RomanS
Сообщений: 140
Зарегистрирован: 25 апр 2011, 19:15

Re: Логиним комюзера через сессию

Сообщение RomanS » 31 июл 2014, 22:02

Пишу для себя, поэтому и структуру я под себя сделал достаточно отличную от оригинала, особо не поможет.

А так я считаю что нужно развивать проект, делать ядро кирпичей из которых в шаблоне можно создавать из них свой проект, к сожалею последние версии пошли по пути когда шаблон привязан к кучи ненужных функции, что делает его более сложным и менее гибким именно для инженерии проекта, ну может для обычного юзера - этот вариан и лучше, не знаю.

Если говорит о результах, скажу одно, что даже через XDebug здесь пока не кто особо и не прокручивал MAXSITE, что бы убрать весь мусор.

А мусора, как и у всех проектов у МАКСА хватает: использование сложных запросов, unset - забыли программисты напрочь - особенно когда мега массивы используется, очистка памяти после запросов Mysql - уже тоже забыта, и т.д.

Даже в МАКСЕ - вот зачем что бы подсчитать пагинацию - нужно получить из базы все ID страниц, а если их более 200т., можно же запрос COUNT использовать.

Аватар пользователя
MAX
Администратор
Сообщений: 3179
Зарегистрирован: 31 янв 2009, 19:02

Re: Логиним комюзера через сессию

Сообщение MAX » 02 авг 2014, 09:33

С какой это радости сессии лучше кук? Данные сессий придется где-то постоянно хранить, например в той же куке или дергать постоянно базу данных. Если сейчас мы проверяем юзера только, когда он залогиннен, то с сессией придется дергать БД для всех посетителей.

Сессии CodeIgniter (а именно он используется в MaxSite CMS) это не PHP-session, а куки. Да, по-дурацки назвали разрабочики, но такое уж название сложилось. Работа с куками сделана очень хорошо. Одного шифрования уже достаточно, чтобы значительно усложнить взлом куки (при этом её ещё нужно выкрасть). Ну и стоит отметить, что часто сессии поддерживаются именно через куки. Только там всё более печальней, поскольку идентификатор сессии хранится в явном виде.

Касаемо «мусора». Пока это голословно. Приводите конкретные примеры кода, которые по-вашему можно оптимизировать.


Вернуться в «if (!is_type('Programmer')) die('not for you');»

Кто сейчас на форуме

Пользователь просматривает форум: Yahoo [Bot]