[PHP] Klasa logowania Opcje

[--edo--]

Witam. Mam pytanie dotyczące klasy logowania.

[PHP] pobierz, plaintext 
<?php
class UserAuth {
 
var $pass;
var $user;
 
function UserAuth() {
}
 
 
function getsession() {
}
 
 
function getmysqlrow(){
}
 
 
function checkuser() {
}
 
}
 
$user = new UserAuth;
?>
[PHP] pobierz, plaintext 

Tak będzie się przedstawiał szkielet klasy. Konstruktor będzie pobierał dane z formularza a następnie je walidował. Jeżeli wszystko będzie okey, wywoła metodę checkuser, która sprawdzi, czy występuje w bazie, jeżeli będzie okey, przejdzie do metody getsession, która utworzy zmienne sesyjne. Funkcja getmysqlrow, będzie wyświetlała dane o userze jezeli sesja bedzie istniała.

W taki sposób zamierzam to zrobić, aczkolwiek, niestety nie wiem czy taki sposób jest dobry. Proszę o jakieś opinie, albo o własne przemyślenia lub przykłady.

Z góry dziękuje

Ten post edytował batman 7.10.2008, 08:38:26

Powód edycji: dodałem bbcode ~batman

[rzepski666]

to moze tak:
konstruktor przypisuje pola $user i $pass
funkcja check sprawdza w bazie i zwraca id z bazy albo false
set session zapisuje w bazie.

bardzo fajnie rozwiazane jest to w zendzie - pomysl czy nie zrobic tego na singletonie

[-B3F064-]

Z zendami i singeltonem nie miałem styczności

Stworzyłem już klasę, która to sprawdza, aczkolwiek chcę mieć pewność iż będzie ona bezpieczna.

[PHP] pobierz, plaintext 
<?php
// wg twoich wskazówek
 
function UserAuth() {
     $user = addslashes(strtolower($this->user));
     $password = addslashes(md5(strtolower($this->password)));
}
 
function checkuser() {
     
if(isset($this->password) && !empty($this->password))
 {
    $query = "SELECT * FROM users WHERE password = '$password' AND user='$user'";
    $sql = mysql_query($query);
    if(!mysql_num_rows($sql)) {
    return false;
    }
    else{
    return $this->checksession();
    }
 }
}
?>
[PHP] pobierz, plaintext 

Jest to jedynie zalążek, dlatego chcę po części dążyć do maksymalnej poprawy kodu.

[drPayton]

[PHP] pobierz, plaintext 
<?php
$user = addslashes(strtolower($this->user));
    $password = addslashes(md5(strtolower($this->password)));
?>
[PHP] pobierz, plaintext 

1. Zapomnij o istnieniu funkcji addslashes() jeśli nie masz narzędzia do sprawdzania/usuwania nadmiarowych slashy. Korzystaj z funkcji odpowiedniej dla bazy danych, no mysql_real_escape_string dla mysql.
2. Jeśli hasło zapisywane w bazie jest w postaci hashu md5 nie ma sensu z jakikolwiek sposób walidować go pod kątem potencjalnych "hacków", wystarczy samo md5($_POST['haslo'])

[--edo--]

Co do adslashes, to będą usunięte.

Jeżeli chodzi o mysql_real_escape_string to posiadam inną funkcję, która odgórnie waliduje czy dane wejściowe filtrować.

[PHP] pobierz, plaintext 
<?php
function htmlspecials($FullHTML=0)
    {
        
        if (isset($FullHTML) && $FullHTML==1)
        {
            foreach($_POST as $key=>$value)
            {
            if (!get_magic_quotes_gpc()) {
            $_POST[$key] = addslashes($value);
            } else {
            $_POST[$key] = $value;
            }
            }
            return true;
        }
        else if (isset($FullHTML) && $FullHTML==2)
        {
              foreach($_POST as $key=>$value)
            {
                $s = array('"', "'", '<', '>');
                $z = array('&quot;', '&apos;', '&lt;', '&gt;');
                $value = str_replace($s, $z, $value);
                $_POST[$key] = $value;    
            }
            return true;
        } 
        else
        {
            foreach($_POST as $key=>$value)
            {
                $s = array('"', "'", '<', '>');
                $z = array('&quot;', '&apos;', '&lt;', '&gt;');
                $value = str_replace($s, $z, $value);
                $_POST[$key] = $value;
            }
    
            return true;
        }
 
        return false;
    }
?>
[PHP] pobierz, plaintext 

Prosta funkcja, która zamienia nieprzyjazne stringi na encje, oczywiście nie jest to pewnie na sto procent zabezpieczające ale myślę że jest okey.
Jeżeli chodzi o logowanie to bardziej mnie interesuje własny mechanizm sesji zapisywany do bazy. Czy warto stworzyć własny session handler? Na potrzeby strony?

[drPayton]

(...)
Czy warto stworzyć własny session handler? Na potrzeby strony?

Warto mieć, ale czy warto tworzyć? W ramach treningu na pewno, ale ja polecam jednak stosowną klasę ZendFramework'a ;)

[--edo--]

Jak to klasa zenda??

[drPayton]

Poczytaj: http://framework.zend.com/manual/en/zend.session.html (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

[--edo--]

Mój cały skrypt logowania. Prosty i krótki.

[PHP] pobierz, plaintext 
<?php
require_once "core.php";
session_regenerate_id();
header_top("Logowanie");
echo "<table>";
 
class UserAuth
{
    var $password;
     var $user;
     
    function start()
    {    
     $this->checkuser();
    }
     
     function checkuser() {     
     if(isset($this->password) && !empty($this->password)) {
        $user = strtolower($this->user);
        $password = md5($this->password);
 
     } else if(isset($_COOKIE['uauth_logc']) && !isset($_SESSION['uauth_loged'])) {
         $r = explode("::", $_COOKIE['uauth_logc']);
         $level = $r[2];
         $user = $r[1];
         $password = $r[0];
 
     } else if(isset($_SESSION['uauth_loged']) && $_SESSION['uauth_loged']==1) {
         $user = $_SESSION['uauth_login'];
        $password = $_SESSION['uauth_pass'];
     } else {
     return false;
     }
     $sql = "SELECT * FROM users WHERE password = '$password' AND user='$user' LIMIT 0,1";
     $query = mysql_query($sql);
     if(!mysql_num_rows($query)) {
    return false;
     }
     else{
     return $this->checksession($sql);
     }
     
     }
     
    function checksession($sql) {
    if(!isset($_SESSION['uauth_loged'])) {
    $query = mysql_query($sql);
    while($row = mysql_fetch_object($query))
    {
        if(isset($_POST['zapamietaj'])){
        setcookie("uauth_logc", "".$row->password."::".$row->user."::".$row->rights."", time()+24*360);
        }
        $_SESSION['uauth_login'] = $row->user;
        $_SESSION['uauth_pass'] = $row->password;
        $_SESSION['uauth_level'] = $row->rights;
        $_SESSION['uauth_loged'] = 1;
        }
    }
    }
}
 
 
 
$u = new UserAuth;
if(isset($_POST['user_login']) && isset($_POST['user_pass'])) {
$u->password = $_POST['user_login'];
$u->user = $_POST['user_pass'];
} else {
 
}
$u->start();
if(isset($_GET['logout'])) {
setcookie("uauth_logc", "", time()-32);
session_destroy();
header('location: login.php');
}
 
if(!isset($_SESSION['uauth_loged'])) {
?>
<form method="POST" action="">
 
<div>Login <input type="text" name="user_login" ></div>
<div>Hasło <input type="password" name="user_pass" ></div>
<div><input type="checkbox" name="zapamietaj" /> - Zapamiętaj hasło</div>
<div><input type="submit" name="login" value="Zaloguj" class="submit"/></div>
 
</form>
 
<?php
} else {
?>
<a href="?logout">wyloguj</a>
<?php
}
echo "</table>";
footer_bt(1);
?>
[PHP] pobierz, plaintext