Forum PHP.pl

Forum PHP.pl > Forum > PHP > Frameworki

Reply to this topic

Start new topic

[inny] YII - logowanie

skorpionek93 Zobacz profil	11.04.2014, 20:29:52 Post #1
Grupa: Zarejestrowani Postów: 8 Pomógł: 0 Dołączył: 11.04.2014 Ostrzeżenie: (0%)	Witam. Jestem nowy w temacie frameworków, YII jest pierwszym, którego się uczę więc jestem jeszcze lekko zagubiony. Przestudiowałem książke Helionu o YII (nie zachwyciła mnie szczerze mówiąc) ale nadala wielu rzeczy nie rozumiem. Moje pytanie dotyczy bezpieczeństwa takiego skryptu logowania: Model: [PHP] pobierz, plaintext <?php class Uzytkownicy extends CActiveRecord { public function tableName() { return 'spr_uzytkownicy'; } public function rules() { return array( array('uzytkownik_login, uzytkownik_haslo', 'required'), array('uzytkownik_login, uzytkownik_haslo', 'length', 'max'=>50), ); } public function relations() { return array( ); } public function attributeLabels() { return array( 'uzytkownik_id' => 'ID', 'uzytkownik_login' => 'Login', 'uzytkownik_haslo' => 'Hasło', ); } public static function model($className=__CLASS__) { return parent::model($className); } } ?> [PHP] pobierz, plaintext Widok [PHP] pobierz, plaintext <h1>Zaloguj się</h1> <div class="form"> <?php $form=$this->beginWidget('CActiveForm', array( 'id' => 'uzytkownicy-zaloguj-form', 'enableAjaxValidation' => FALSE )); ?> <p>Pola oznaczone * są wymagane</p> <?php echo $form->errorSummary($Model); ?> <div class="row"> <?php echo $form->labelEx($Model, 'uzytkownik_login'); ?> <?php echo $form->textField($Model, 'uzytkownik_login'); ?> <?php echo $form->error($Model, 'uzytkownik_login'); ?> </div> <div class="row"> <?php echo $form->labelEx($Model, 'uzytkownik_haslo'); ?> <?php echo $form->passwordField($Model, 'uzytkownik_haslo'); ?> <?php echo $form->error($Model, 'uzytkownik_haslo'); ?> </div> <div class="row buttons"> <?php echo CHtml::submitButton('Zaloguj'); ?> </div> <?php $this->endWidget(); ?> </div> [PHP] pobierz, plaintext Kontroler: [PHP] pobierz, plaintext <?php class TestController extends Controller { public function actionIndex() { $this->pageTitle = 'Zaloguj'; $Model = new Uzytkownicy; if(isset($_POST['Uzytkownicy'])) { $Model->attributes = $_POST['Uzytkownicy']; if($Model->validate()) { $Ile = $Model->count( 'uzytkownik_login = :UzytkownikLogin AND uzytkownik_haslo = :UzytkownikHaslo', array( ':UzytkownikLogin' => $Model->attributes['uzytkownik_login'], ':UzytkownikHaslo' => $Model->attributes['uzytkownik_haslo'] )); if($Ile == 1) { Yii::app()->session['zalogowany'] = 'tak'; $Rezultat = $Model->findAll( 'uzytkownik_login = :UzytkownikLogin AND uzytkownik_haslo = :UzytkownikHaslo', array( ':UzytkownikLogin' => $Model->attributes['uzytkownik_login'], ':UzytkownikHaslo' => $Model->attributes['uzytkownik_haslo'] ) ); foreach ($Rezultat as $RezultatWiersz) { Yii::app()->session['root'] = $RezultatWiersz->uzytkownik_id; } } } } $this->render('index', array( 'Model' => $Model, )); } public function actionWyloguj() { Yii::app()->session['zalogowany'] = ''; Yii::app()->session['root'] = ''; $this->redirect(array('test/')); } } ?> [PHP] pobierz, plaintext Ten skrypt jest napisany na podstawie tej właśnie książki (a raczej w większości z niej przepisany z moimi lekkimi zmianami). Chciałbym się dowiedzieć czy tak przygotowany skrypt logowania jest bezpieczny i może być bez obaw zastosowany na stronach opublikowanych online? Bo powiem szczerze, że mam lekkie obawy gdyż wiem ile trzeba sobie zadać trudu pisząc coś takiego w czystym PHP (głównie chodzi o walidację). Przepraszam za tak laickie pytanie ale jestem mocno początkujący a do dyspozycji mam tylko tą książkę i dokumentację, która jest napisana dosyć ciężkim wg mnie językiem. Praktycznie nie ma innych źródeł w języku polskim. Pozdrawiam i z góry dziękuję za odpowiedzi.

NetBeans Zobacz profil	11.04.2014, 20:51:43 Post #2
Grupa: Zarejestrowani Postów: 56 Pomógł: 4 Dołączył: 18.01.2012 Ostrzeżenie: (0%)	Wybrałeś dobry framework, więc korzystaj z jego dobrodziejstw. Nie pisz tego ręcznie, użyj UserIdentity, tak jak pokazują w manualu. Autoryzacja tam pokazana jest napisana na prawdę dobrze, nie ma co kombinować. Jeżeli wykonasz to tak, jak opisują w linku poniżej, możesz spać spokojnie. Jeżeli nie jesteś pewien co do walidatorów, zawsze możesz przeczytać ich kod. Ja to zrobiłem, są napisane na prawdę dobrze. http://www.yiiframework.com/doc/guide/1.1/pl/topics.auth Btw, nie rób tak dużo "enterów" w kodzie, bo nie da się tego czytać. (IMG:style_emoticons/default/smile.gif)

skorpionek93 Zobacz profil	14.04.2014, 17:51:24 Post #3
Grupa: Zarejestrowani Postów: 8 Pomógł: 0 Dołączył: 11.04.2014 Ostrzeżenie: (0%)	Witam ponownie. Po 2 dniach i przejrzeniu niezliczonej liczby stron i forów wreszcie naskrobałem działający formularz logowania ale, że jego bezpieczeństwo jest bardzo ważne to prosiłbym o sprawdzenie i pokazanie ewentualnych błędów/uchybień. Tam gdzie się da to nie będę wstawiał całego kodu tylko jego istotne fragmenty. Kontroler: [PHP] pobierz, plaintext public function actionLogin() { $model=new LoginForm; if(isset($_POST['LoginForm'])) { $model->attributes=$_POST['LoginForm']; if($model->validate() && $model->login()) { $this->redirect(Yii::app()->user->returnUrl); } } $this->render('login',array('model'=>$model)); } public function actionLogout() { Yii::app()->user->logout(); $this->redirect(Yii::app()->homeUrl); } [PHP] pobierz, plaintext LoginForm.php [PHP] pobierz, plaintext <?php class LoginForm extends CFormModel { public $username; public $password; public $rememberMe; private $_identity; public function rules() { return array( array('username, password', 'required'), array('rememberMe', 'boolean'), array('password', 'authenticate'), ); } public function attributeLabels() { return array( 'rememberMe' => 'Remember me next time', 'username' => 'Użytkownik', 'password' => 'Hasło', ); } public function authenticate($attribute,$params) { $this->_identity=new UserIdentity($this->username,$this->password); if(!$this->_identity->authenticate()) { $this->addError('password','Incorrect username or password.'); } } public function login() { if($this->_identity===null) { $this->_identity=new UserIdentity($this->username,$this->password); $this->_identity->authenticate(); } if($this->_identity->errorCode===UserIdentity::ERROR_NONE) { $duration=$this->rememberMe ? 36002430 : 0; Yii::app()->user->login($this->_identity,$duration); return true; } else { return false; } } } ?> [PHP] pobierz, plaintext Uzytkownicy.php [PHP] pobierz, plaintext <?php class Uzytkownicy extends CActiveRecord { public function tableName() { return 'spr_uzytkownicy'; } public function rules() { return array( array('uzytkownik_login, uzytkownik_haslo', 'required'), array('uzytkownik_login, uzytkownik_haslo', 'length', 'max'=>50), ); } public function relations() { return array( ); } public function attributeLabels() { return array( ); } public static function model($className=__CLASS__) { return parent::model($className); } } [PHP] pobierz, plaintext UserIdentity.php [PHP] pobierz, plaintext <?php class UserIdentity extends CUserIdentity { private $_id; public function authenticate() { $user=Uzytkownicy::model()->findByAttributes(array('uzytkownik_login'=>$this->username)); if($user===null) { $this->errorCode=self::ERROR_USERNAME_INVALID; } else if($user->uzytkownik_haslo != $this->password) { $this->errorCode=self::ERROR_PASSWORD_INVALID; } else { $this->_id=$user->uzytkownik_id; $this->username=$user->uzytkownik_login; $this->errorCode=self::ERROR_NONE; } return $this->errorCode==self::ERROR_NONE; } public function getId() { return $this->_id; } } [PHP] pobierz, plaintext Widok: [PHP] pobierz, plaintext <?php $form=$this->beginWidget('CActiveForm', array( //1 'id'=>'login-form', //2 'enableAjaxValidation'=>FALSE, )); ?> <div class="row"> <?php echo $form->labelEx($model,'username'); ?> <?php echo $form->textField($model,'username'); ?> <?php echo $form->error($model,'username'); ?> </div> <div class="row"> <?php echo $form->labelEx($model,'password'); ?> <?php echo $form->passwordField($model,'password'); ?> <?php echo $form->error($model,'password'); ?> </div> <div class="row rememberMe"> <?php echo $form->checkBox($model,'rememberMe'); ?> <?php echo $form->label($model,'rememberMe'); ?> <?php echo $form->error($model,'rememberMe'); ?> </div> <div class="row submit"> <?php echo CHtml::submitButton('Login'); ?> </div> <?php $this->endWidget(); ?> [PHP] pobierz, plaintext Co o tym sądzicie? Wydaje mi się, że jest to strasznie chaotycznie napisane bo to jest zlepek kilku formularzy przerobionych przeze mnie. Szczególnie mnie zastanawia czy nie dałoby się połączyć LoginForm.php i Użytkownicy.php w jeden model? Tylko wtedy musiałby dziedziczyć jednocześnie po CActiveRecord i CFormModel co jest chyba niemożliwe? Byłbym bardzo wdzięczny za wskazówki co można poprawić aby ten interfejs logowania był prostszy i bezpieczny. Mam jeszcze jedno pytanie. W książce z Helionu autor zalecał dodanie w config/main.php czegoś takiego: [PHP] pobierz, plaintext 'session' => array( 'class' => 'CDbHttpSession', 'connectionID' => 'db', 'sessionTableName' => 'spr_session' ), [PHP] pobierz, plaintext a w bazie danych tabelę sesji, w moim przypadku spr_session(id, expire, data). Może mi ktoś wytłumaczyć do czego to słuzy i co to ma dać? Bo testowałem zarówno z tym fragmentem jak i bez niego i firebug pokazuje dokładnie tak samo cookies sesyjne, a jedyna róznica jest w tym, że w tej tabeli zapisują się identyfikatory sesjii. Byłbym wdzięczny jakby mi to ktoś przy okazji wytłumaczył. Pozdrawiam i z góry dziękuję za odpowiedzi. Ten post edytował skorpionek93 14.04.2014, 17:51:47

Turson Zobacz profil	14.04.2014, 18:05:50 Post #4
Grupa: Zarejestrowani Postów: 4 291 Pomógł: 829 Dołączył: 14.02.2009 Skąd: łódź Ostrzeżenie: (0%)	Kiedyś napisałem tak [PHP] pobierz, plaintext <?php class LoginController extends Controller { public function actionIndex() { $model = new Login; if(isset($_POST['Login'])){ // logowanie użytkownika za pomocą nazwy użytkownika oraz hasła $identity=new UserIdentity($_POST['Login']['login'],$_POST['Login']['password']); if($identity->authenticate()){ $logged=true; Yii::app()->user->login($identity); } else{ $logged="error"; echo $identity->errorMessage; } } else $logged=false; $this->render('index', array( 'model'=>$model, 'logged'=>$logged, )); } public function actionLogout(){ Yii::app()->user->logout(); $this->redirect('index.php'); } } class UserIdentity extends CUserIdentity { private $_id; public function authenticate() { $record=Login::model()->findByAttributes(array('login'=>$this->username)); if($record===null) $this->errorCode=self::ERROR_USERNAME_INVALID; else if($record->password!==sha1($this->password)) $this->errorCode=self::ERROR_PASSWORD_INVALID; else { $this->_id=$record->id; $this->setState('login', $record->login); $this->errorCode=self::ERROR_NONE; } return !$this->errorCode; } public function getId() { return $this->_id; } } [PHP] pobierz, plaintext

NetBeans Zobacz profil	14.04.2014, 18:21:16 Post #5
Grupa: Zarejestrowani Postów: 56 Pomógł: 4 Dołączył: 18.01.2012 Ostrzeżenie: (0%)	Wszystko fajnie, ale nie hashujesz hasła, albo ja nie widzę. Hasło trzymane w plain tekście to zło. Yii dostarcza fajny helper, który pomaga prawidłowo hashować hasła. Jego użycie jest banalnie proste. W zasadzie sprowadza się do wywołania dwóch metod, na pewno dasz sobie radę. Hasła hashowane metodami tej klasy są hashowane z użyciem mcryptu bodajże, a więc aktualnego standardu polecanego przez samo php.net. http://www.yiiframework.com/doc/api/1.1/CPasswordHelper Jeżeli chodzi o połączenie modelu Użytkownicy i LoginForm, to jest to niemożliwe. Dla początkujących w tym FW może wydać się to pogmatwane, ale ogólna zasada brzmi, że kiedy zapisujesz dane w bazie używaj ActiveRecord, a kiedy tylko pobierasz a potem porzucasz (np. formularz kontaktu, gdzie pobierasz dane, wysylasz maila i je porzucasz) to FormModel. Sesje na bazie to fajna sprawa, szczególnie na współdzielonych hostingach. Nie będę tu teraz o tym mówił, bo to dość rozległy temat, ale: jeżeli chcesz większe bezpieczeństwo, użyj bazy danych. Ciastko zawsze będzie, bo zawsze jest porównanie id z ciastka == id z bazy \|\| id z ciastka == id na serwerze (gdzie normalnie trzymane są dane sesji). Jeżeli masz jeszcze jakieś pytania, to pisz. PS. Pod żadnym pozorem nie używaj SHA1 jak kolega wyżej oraz nie realizuj hashowania z UserIdentity, rób to w modelu. Ten post edytował NetBeans 14.04.2014, 18:25:44

skorpionek93 Zobacz profil	14.04.2014, 18:46:54 Post #6
Grupa: Zarejestrowani Postów: 8 Pomógł: 0 Dołączył: 11.04.2014 Ostrzeżenie: (0%)	Jeśli chodzi o hashowanie to w kilku przykładach było realizowane za pomocą md5 ale je wyciąłem chwilowo żeby kod był czytelniejszy (podczas kombinowania z niedziałającym kodem im mniej znaków tym lepiej) a później zapomniałem dokleić ale oczywiście. Dziękuję za pomoc (IMG:style_emoticons/default/smile.gif) To moje początki z Yii więc pewnie jeszcze niejedno pytanie zadam w tym dziale (IMG:style_emoticons/default/tongue.gif) Pozdrawiam Edit:// Czyli rozumiem, że hashowanie najlepiej wykonać tutaj: [PHP] pobierz, plaintext // LoginForm.php public function authenticate($attribute,$params) { $this->_identity=new UserIdentity($this->username,$this->password); if(!$this->_identity->authenticate()) { $this->addError('password','Incorrect username or password.'); } [PHP] pobierz, plaintext czyli przed przekazaniem hasła do UserIdentity? Dobrze myślę? Ten post edytował skorpionek93 14.04.2014, 18:50:01

NetBeans Zobacz profil	14.04.2014, 19:48:03 Post #7
Grupa: Zarejestrowani Postów: 56 Pomógł: 4 Dołączył: 18.01.2012 Ostrzeżenie: (0%)	W zasadzie pasowałoby w modelu użytkownika, ale żeby zbytnio nie kombinować, to proponuję tak: UserIdentity [PHP] pobierz, plaintext // ... public function authenticate() { $user = User::model()->findByAttributes(array('username' => $this->username)); if ($user === null) { return false; } else if (!CPasswordHelper::verifyPassword($this->password, $user->initialPassword)) { // tutaj weryfikujemy zahashowane już hasło return false; } else { $this->_id = $user->id_user; $this->username = $user->username; $this->errorCode = self::ERROR_NONE; return true; } } // ... [PHP] pobierz, plaintext

« Następny starszy · Frameworki · Następny nowszy »

Reply to this topic

Start new topic

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Standardowy · Przełącz na: Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Aktualny czas: 23.12.2025 - 11:07

Powered By IP.Board © 2025 IPS, Inc.
All changes by PHP.pl Administrators

Hosting zapewnia

NQ.pl hosting, trac, svn