[skrypt] uniwersalny skrypcik logowania Opcje

[epud]

jako, że zaczynam dopiero zabawe z obiektowym php prosze o ocene skrypciku na ponize, jest to "uniwersalny" skrypcik logowania uzytkownika do systemu... zalozenie bylo takie abym mogl to prosto przystosowac do innych projetkow bez za duzego grzebania w kodzie, dla tego podajemy nazwe tabeli z uzytkownikami, i nazwe pol z loginem i haslem

co myslicie nadaje sie?

a pod wzgledem obiektowym?

[PHP] pobierz, plaintext 
<?php 
class auth{
	var $db = NULL;
	var $table_name;
	var $login_name;
	var $pass_name;
	var $md5;
	var $login;
	var $pass;
	var $dbpass;
	var $errors = array();
	public function __construct($db, $table_name, $login_name, $pass_name, $md5 = false){
		session_start();
		//$_SESSION['isLoggedIn'] = false;
		$this -> db = $db;
		$this -> table_name = $table_name;
		$this -> login_name = $login_name;
		$this -> pass_name = $pass_name;
		$this -> md5 = $md5;
	}
	public function authorize($login, $pass){
		if(empty($login) || empty($pass)){
			array_push($this -> errors, 'login i hasło nie mogą być puste');
			return false;
		}
		$this -> login = $login;
		if($this -> md5){
			$this -> pass = md5($pass);
		}
		else{
			$this -> pass = $pass;
		}
		if($this -> getPass()){
			if($this -> pass == $this -> dbpass){
				$_SESSION['isLoggedIn'] = true;
				$_SESSION['userData'] = $this -> getUserData();
				header("Location: index.php");
			}
			else{
				array_push($this -> errors, 'błędny login lub hasło');
			}
		}
		else{
			array_push($this -> errors, 'błędny login lub hasło');
		}
	}
	private function getPass(){
		$this -> dbpass = $this -> db -> GetOne("SELECT ". $this -> pass_name ." FROM ". $this -> table_name ." WHERE ". $this -> login_name." = '".$this -> login."'");
		if($this -> dbpass){
			return true;
		}
		return false;
	}
	public function isLoggedIn(){
		return $_SESSION['isLoggedIn'];
	}
	private function getUserData(){
		return trim_array($this -> db -> GetRow("SELECT * FROM ".$this -> table_name." WHERE ".$this -> login_name." = '".$this -> login."'"));
	}
}
?>
[PHP] pobierz, plaintext 

sprawdzanie czy zalogowany czy nie..

[PHP] pobierz, plaintext 
<?php 
$auth = new auth($db, PREFIX."users", 'user_name', 'user_pass', true);
/* END AUTH */
 
if($auth -> isLoggedIn()){//jesli zalogowany
	$smarty -> display('index.tpl');
}
else{//jesli nie zalogowany
	$smarty -> display('loginForm.tpl');
}//if($auth -> isLoggedIn())
?>
[PHP] pobierz, plaintext 

wersyfikacjia usera

[PHP] pobierz, plaintext 
<?php
$auth = new auth($db, PREFIX."users", 'user_name', 'user_pass', true);
$auth -> authorize($_POST['login']['user_name'], $_POST['login']['user_pass']);
?>
[PHP] pobierz, plaintext 

z gory dzieki za wszelkie wypowiedzi (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

Ten post edytował epud 5.06.2006, 18:03:37

[dyktek]

na początek zaznacze ze sam jestem początkujący jeśli chodzi o oop.
testowałem klase i fajnie działa ale mam jedno pytanie po co to

[PHP] pobierz, plaintext 
<?php
array_push($this -> errors, 'błędny login lub hasło');
?>
[PHP] pobierz, plaintext 

skoro piszesz w php5

[AcidBurnt]

zwrocenie komunikatu o blednym loginie i hasle, ktory mozna wyswietlic pozniej uzytkownikowi.

[dyktek]

no to wiem:) tylko chodziło mi raczej po co skoro są wyjątki

[TomASS]

Witam (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

1. jeśli funkcje nazywasz public, to zmienne nazwij konsekwentnie (teraz masz var $zmienna) private (tutaj jest wyjaśnione dlaczego)
2. uważaj z zapytaniem:

[PHP] pobierz, plaintext 
<?php
"SELECT ". $this -> pass_name ." FROM ". $this -> table_name ." WHERE ". $this -> login_name." = '".$this -> login."'"
?>
[PHP] pobierz, plaintext 

na SQL Injection/Insertion.

Narazie to tylko to co mi się w oczy rzuciło.

Sam kiedyś chciałem napisac jakiś porządny krypcik logowania dla początkujących, bo czasmi ludzie mają z tym problemy.

Ten post edytował TomASS 6.06.2006, 09:45:54

[epud]

no to wiem:) tylko chodziło mi raczej po co skoro są wyjątki

eee. no dobra ale z tego co sie orientuje wyjatek zatrzyma wykonywanie strony dalej tak? a jak chce tylko napisac nad formem logowania ze bledne haslo jest nic wiece, zaden z tych bledow nie jest krytyczny

1. jeśli funkcje nazywasz public, to zmienne nazwij konsekwentnie (teraz masz var $zmienna) private (tutaj jest wyjaśnione dlaczego)
2. uważaj z zapytaniem:

[PHP] pobierz, plaintext 
<?php
"SELECT ". $this -> pass_name ." FROM ". $this -> table_name ." WHERE ". $this -> login_name." = '".$this -> login."'"
?>
[PHP] pobierz, plaintext 

na SQL Injection/Insertion.

masz racjie z tym sql injection... tzn w tym przypadku dbam o to zanim wysle zmienne do klasy... na samyum pocatku stronki mam cos takiego:

[PHP] pobierz, plaintext 
<?php
$_POST = trim_array($_POST);
?>
[PHP] pobierz, plaintext 

co usuwa z tresc zmiennych, select, insert, delete tip... i trimuje kazda zniemmna (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) chyba powinno stykac co? ;>

no i zaraz poczytam o tych zmiennych private itp

[TomASS]

Bardzo mądrze (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) A jak wygląda ta funkcja trim_array?

[epud]

Bardzo mądrze (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) A jak wygląda ta funkcja trim_array?

tak o:

[PHP] pobierz, plaintext 
<?php 
function trim_array($array){
	$new = array();
	foreach($array as $a => $row){
		if(is_array($row)){
			$new[$a] =  trim_array($row);
		}
		else{
			$new[$a] = trim($row);
			$new[$a] = str_replace("SELECT", " ", $row);
			$new[$a] = str_replace("INSERT", " ", $row);
			$new[$a] = str_replace("DELETE", " ", $row);
			$new[$a] = str_replace("UPDATE", " ", $row);
		}
	}
	return $new;
}
?>
[PHP] pobierz, plaintext 

hm.. tylko wlasnie chyba stwierdzilem ze nie zadziala jak ktos poscic w teks SeLeCt a baza i tak to zinterpetuje chyba (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

ma ktos jakis pomysł jak to porpawic

a powracajac do klasy dodalem TIMEOUTA po ktorym wylogowuje po czasie bezczynnosc:

[PHP] pobierz, plaintext 
<?php 
/**
 * Unwersalna autrozacja uzytkownia
 * @author Acid
 * @version 1.0
 * 
 */
class auth{
	var $db = NULL;
	var $table_name;
	var $login_name;
	var $pass_name;
	var $md5;
	var $login;
	var $pass;
	var $dbpass;
	var $sessionTime;
	var $errors = array();
	/**
	 * Konstruktor klasy
	 *
	 * @param object $db
	 * @param string $table_name
	 * @param string $login_name
	 * @param string $pass_name
	 * @param bool $md5
	 */
	public function __construct($db, $table_name, $login_name, $pass_name, $sessionTime = '1200',$md5 = false){
		session_start();
		$this -> db = $db;
		$this -> table_name = $table_name;
		$this -> login_name = $login_name;
		$this -> pass_name = $pass_name;
		$this -> sessionTime =$sessionTime;
		$this -> md5 = $md5;
	}
	/**
	 * Autoryzacja
	 *
	 * @param string $login
	 * @param string $pass
	 * @return bool
	 */
	public function authorize($login, $pass){
		if(empty($login) || empty($pass)){
			array_push($this -> errors, 'login i hasło nie mogą być puste');
			return false;
		}
		$this -> login = $login;
		if($this -> md5){
			$this -> pass = md5($pass);
		}
		else{
			$this -> pass = $pass;
		}
		if($this -> getPass()){
			if($this -> pass == $this -> dbpass){
				$_SESSION['isLoggedIn'] = true;
				$_SESSION['beginTime'] = time();
				$_SESSION['userData'] = $this -> getUserData();
				header("Location: index.php");
			}
			else{
				array_push($this -> errors, 'błędny login lub hasło');
			}
		}
		else{
			array_push($this -> errors, 'błędny login lub hasło');
		}
	}
	/**
	 * pobieranie hasła z bazy
	 *
	 * @return bool
	 */
	private function getPass(){
		$this -> dbpass = $this -> db -> GetOne("SELECT ". $this -> pass_name ." FROM ". $this -> table_name ." WHERE ". $this -> login_name." = '".$this -> login."'");
		if($this -> dbpass){
			return true;
		}
		return false;
	}
	/**
	 * Sprawdzanie czy zalogowany
	 *
	 * @return bool
	 */
	public function isLoggedIn(){
		if(isset($_SESSION['isLoggedIn']) && $this -> sessionTimeOut()){
			return true;
		}
		return false;
	}
	/**
	 * Pobieranie danych uzytkownia z bazy
	 *
	 * @return array mixed
	 */
	private function getUserData(){
		return trim_array($this -> db -> GetRow("SELECT * FROM ".$this -> table_name." WHERE ".$this -> login_name." = '".$this -> login."'"));
	}
	/**
	 * Wylogowywanie
	 *
	 */
	public function logOut(){
		session_destroy();
		unset($_SESSION);
		header("Location: index.php");
	}
	private function sessionTimeOut(){
		if($_SESSION['beginTime'] + $this -> sessionTime < time()){
			session_destroy();
			unset($_SESSION);
			array_push($this ->errors, 'przekroczyłeś czas bezczynnosc');
			return false;
		}
		return true;
	}
}
?>
[PHP] pobierz, plaintext 

[Jim]

co do trim_array to proponuję zastosować po prostu mysql_real_escape_string" title="Zobacz w manualu php" target="_manual.
A jeśli chciałbyś wykrywać "hacking attempts" to najlepiej zastosować wyrażenia reguralne, ale na tym to ja już się nie znam (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

btw: dobry pomysł, może sam też skorzystam jak już będzie stablina wersja (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

[epud]

co do trim_array to proponuję zastosować po prostu mysql_real_escape_string" title="Zobacz w manualu php" target="_manual.
A jeśli chciałbyś wykrywać "hacking attempts" to najlepiej zastosować wyrażenia reguralne, ale na tym to ja już się nie znam (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

btw: dobry pomysł, może sam też skorzystam jak już będzie stablina wersja (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

stabilna to juz jest, wdrorzylem ja juz w skrypcje (IMG:http://forum.php.pl/style_emoticons/default/biggrin.gif) powiedzcie co by jeszcze dodac to sie doda aby była lepsza...

drobna zmiana, bo wylogowywalo zawsze po czasie nie zaleznie czy user byl aktywny czy nie (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

[PHP] pobierz, plaintext 
<?php
public function isLoggedIn(){
		if(isset($_SESSION['isLoggedIn']) && $this -> sessionTimeOut()){
			$_SESSION['beginTime'] = time();
			return true;
		}
		return false;
	}
?>
[PHP] pobierz, plaintext 

[Jarod]

[PHP] pobierz, plaintext 
<?php
$_POST = trim_array($_POST);
?>
[PHP] pobierz, plaintext 

Jeśli mam do przefiltrowania kilka zmiennych POST i klika GET to zamiast filtrować je po kolei, np tak:

[PHP] pobierz, plaintext 
<?php
$_POST['zmienna1']=intval($_POST['zmienna1']);
$_POST['zmienna2']=strval($_POST['zmienna2']);
 
$_GET['zmienna1']=intval($_GET['zmienna1']);
$_GET['zmienna2']=strval($_GET['zmienna2']);
?>
[PHP] pobierz, plaintext 

Mogę zastąpić tak:

[PHP] pobierz, plaintext 
<?php
$_POST = intval($_POST);
$_POST = strval($_POST);
?>
[PHP] pobierz, plaintext 

(IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) ?

[epud]

nie, trim_array to f-cja przygotowana przezemnie ktora robi trim na kazdym elemencie tej tablicy