[PHP] OOP PDO wyszukiwanie w bazie

[PHP] OOP PDO wyszukiwanie w bazie, jw

miras Zobacz profil	7.08.2013, 18:20:45 Post #1
Grupa: Zarejestrowani Postów: 1 004 Pomógł: 9 Dołączył: 18.01.2011 Skąd: Siedlce Ostrzeżenie: (30%)	Witam, mam pewną klasę w niej obiekt pdo (uprzedzając podpowiedzi:)) i pewną funkcję, która odpowiada za sprawdzanie czy w bazie istnieje dany user czy nie jednak coś nie śmiga... [PHP] pobierz, plaintext public function login($login, $password) { $this->login = $login; $this->password = $password; $this->check_data = $this->pdo -> query("SELECT mail, haslo FROM users WHERE `mail`='$this->login' AND `haslo`='$this->password'"); if (!empty($this->check_data)) { return "wszystko ok"; } } [PHP] pobierz, plaintext jak to "usprawnić" ? Dzięki z góry!

Odpowiedzi

piotr.pasich Zobacz profil	7.08.2013, 20:09:16 Post #2
Grupa: Zarejestrowani Postów: 27 Pomógł: 4 Dołączył: 27.01.2012 Skąd: Gliwice Ostrzeżenie: (0%)	Przede wszystkim PDO jest po to, żeby uniknąć czystych zapytań MySQL, czyli powinno być coś w stylu: $this->check_data = $this->pdo->select('users') ->fields(array('mail', 'haslo')) ->andWhere('mail = ?', $this->login) ->andWhere('haslo = ?', $this->password); W ten sposób uzyskujesz minimum bezpieczeństwa. W swoim skrypcie masz bardzo poważny problem z SQJ injection. Dodatkowo nie powinieneś mieć $this->login i $this->password tylko przekazać np obiekt usera i mieć $user->login i $user->password . Byłoby super gdyby było to pobierane przez metody np. $user->getLogin(), oraz $user->getPassword(). Przy czym password pamiętaj, że powinno być szyfrowane, czyli po zbindowaniu z formularza logowania ustawiasz najlepiej plainPasswod, które jest później konwertowane. Za dużo w ogole operujesz na properiesach. Nie musisz ustawiac wszystkiego jako nowe pola w klasie. To bez sensu. Metoda ma zwócić tylko informację czy użytkownik może się zalogować czy nie. Przy czym return "wszystko ok"; raczej odpada. Daj return !empty($this->check_data) - zwróci true, albo false. Pomijasz wtedy w ogóle ifa. Dodatkowo z tego co widzę to metoda nazywa się login.. przy czym nie loguje użytkownika tylko sprawdza czy istnieje w bazie danych. Powinna się nazywać zupełnie inaczej np. userExists($login, $password) i być wywoływaną przez login gdzie będzie ustawiana sesja. Trochę chaotycznie, ale zawsze (IMG:style_emoticons/default/smile.gif) Najlepiej wrzuć na githuba (IMG:style_emoticons/default/smile.gif) Zapraszam też do głosowania na agendę http://www.phpcon.pl/2013/pl/agenda (IMG:style_emoticons/default/smile.gif) Piotr Pasich Ten post edytował piotr.pasich 7.08.2013, 20:10:22

Posty w temacie

miras [PHP] OOP PDO wyszukiwanie w bazie 7.08.2013, 18:20:45

viking Wybierasz dane które już posiadasz więc bez sensu.... 7.08.2013, 18:28:39

piotr.pasich Przede wszystkim PDO jest po to, żeby uniknąć czys... 7.08.2013, 20:09:16

miras ok, wszystko jasne, dzięki za tak wyczerpującą odp... 9.08.2013, 11:36:23

Tajgeer http://php.net/manual/en/book.pdo.php Po prostu P... 9.08.2013, 12:07:31

« Następny starszy · Przedszkole · Następny nowszy »

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Aktualny czas: 14.10.2025 - 15:46

Hosting zapewnia

Forum PHP.pl