如何以管理员身份有效删除用户

Question

当用户登录或注册时，我会存储一个会话和 cookie，并在数据库中插入一些详细信息。

登录/注册.php

$_SESSION['userid'] = $userid;
$selector = base64_encode(random_bytes(9));
$authenticator = random_bytes(33);
$token = hash('sha256', $authenticator);
$expires = date('Y-m-d\TH:i:s', time() + 864000);
$stmt2 = $pdo->prepare("INSERT INTO auth_tokens 
(selector,token,userid,expires) VALUES (:selector, :token, :userid, 
:expires)");
$stmt2->bindParam(':selector', $selector);
$stmt2->bindParam(':token', $token);
$stmt2->bindParam(':userid', $userid);
$stmt2->bindParam(':expires', $expires);
$stmt2->execute();

setcookie(
    'remember',
     $selector.':'.base64_encode($authenticator),
     time()+(86400 * 90),
     '/',
     false
);

现在，当用户单击注销时，我会销毁会话和 cookie

logout.php

session_start();
$_SESSION = array();
unset($_SESSION);
if (isset($_COOKIE['remember'])) {
unset($_COOKIE['remember']);
setcookie('remember', '', time() - 3600, '/'); // empty value and old 
timestamp
}
session_destroy();

作为管理员，我想在从自己的 End 删除用户时删除用户会话和 cookie。

现在当我使用这个删除数据库中的用户时

deleteuser.php

$stmt = $pdo->prepare("DELETE FROM users WHERE id=:uid");
$stmt->bindValue(':uid', $uid);
$stmt->execute();
if($stmt){ 
$stmt2 = $pdo->prepare("DELETE FROM auth_tokens WHERE userid=:uid");
$stmt2->bindValue(':uid', $uid);
$stmt2->execute();
}

当同一用户重新访问一个页面（index.php）时，我在页面顶部收到此错误

警告：hash_equals()：预期 known_string 是一个字符串，在第 17 行的 C:\xampp\htdocs\book\php\function.php 中给出了 null

index.php

include('php/function.php');
getcookie();

function.php

if (!empty($_COOKIE['remember'])) {
list($selector, $authenticator) = explode(':', $_COOKIE['remember']);
$stmt = $pdo->prepare("SELECT * FROM auth_tokens WHERE selector=:selector");
$stmt->bindValue(':selector', $selector);
$stmt->execute();
$row = $stmt->fetch();

if (hash_equals($row['token'], hash('sha256',
base64_decode($authenticator)))) {
.....
}
}

function getcookie (){

if (!empty($_COOKIE['remember'])) {
    list($selector, $authenticator) = explode(':', $_COOKIE['remember']);
    $stmt = $pdo->prepare("SELECT * FROM auth_tokens WHERE 
 selector=:selector");
    $stmt->bindValue(':selector', $selector);
    $stmt->execute();
    $row = $stmt->fetch();
    $toke = $row['token'];
    $auth = hash('sha256', base64_decode($authenticator));       
    if (hash_equals($row['token'], hash('sha256',
    base64_decode($authenticator)))) {
    $userid = $row['userid'];
    // Then regenerate login token as above
    }
 }
}

如何调整这些代码，以便我可以通过结束用户会话和 cookie 来有效地从我的网站中删除用户。？

Answer 1

您无法删除用户的会话/cookie...但是您可以立即删除他们执行任何管理员操作的能力。

如果在执行任何管理员级别操作之前在服务器上重新检查了用户的凭据（基于他们的 sessionID 或其他），那么他们的管理员状态实际上被禁用 - 然后您会将它们转移到非管理员屏幕同时。

您可能会问：如果他们在我击杀他们时打开并激活了管理屏幕怎么办？对于静态屏幕，您几乎无能为力（他们可以截取屏幕截图 - 您无法阻止）。他们可以点击后退按钮，也许可以从缓存中查看屏幕。但是

一些可能的解决方案是：

(a) 使用带有 setInterval（或递归 setTimeout）函数的 ajax，每 X 秒/分钟重新检查一次服务器的管理员凭据。然后，即使他们是 afk，他们也可以从管理屏幕中注销。 （当然，精明的用户可以通过在 DevTools 中进行猴子来停止此方法。）

(b) 在执行任何管理操作之前，都会重新检查他们的信用。如果他们不再是管理员，则拒绝该操作，并且他们将返回到非管理员屏幕。精明的用户不会干扰此方法。

这不会给所有事情带来明显的延迟吗？

没有。重新检查凭据就像在数据库中实时检查他们的用户权限状态一样简单。

当您取消管理它们时，您将更改它们的 priv 级别，因此每当用户尝试从该管理屏幕执行某项操作时，都会立即获取该权限。除非你有几千个用户，否则不要担心这样做的开销。即使有数千名用户，它仍然可能是处理此事的一种不错的方式。无论如何，此时您正在与服务器通信，并且在每个管理操作功能中，只需插入一个快速检查以“验证管理状态” - 所以它只是服务器上与自己的数据库通信的后端代码。超级快。