[inny] YII - logowanie - Forum PHP.pl

[inny] YII - logowanie

skorpionek93 Zobacz profil	11.04.2014, 20:29:52 Post #1
Grupa: Zarejestrowani Postów: 8 Pomógł: 0 Dołączył: 11.04.2014 Ostrzeżenie: (0%)	Witam. Jestem nowy w temacie frameworków, YII jest pierwszym, którego się uczę więc jestem jeszcze lekko zagubiony. Przestudiowałem książke Helionu o YII (nie zachwyciła mnie szczerze mówiąc) ale nadala wielu rzeczy nie rozumiem. Moje pytanie dotyczy bezpieczeństwa takiego skryptu logowania: Model: [PHP] pobierz, plaintext <?php class Uzytkownicy extends CActiveRecord { public function tableName() { return 'spr_uzytkownicy'; } public function rules() { return array( array('uzytkownik_login, uzytkownik_haslo', 'required'), array('uzytkownik_login, uzytkownik_haslo', 'length', 'max'=>50), ); } public function relations() { return array( ); } public function attributeLabels() { return array( 'uzytkownik_id' => 'ID', 'uzytkownik_login' => 'Login', 'uzytkownik_haslo' => 'Hasło', ); } public static function model($className=__CLASS__) { return parent::model($className); } } ?> [PHP] pobierz, plaintext Widok [PHP] pobierz, plaintext <h1>Zaloguj się</h1> <div class="form"> <?php $form=$this->beginWidget('CActiveForm', array( 'id' => 'uzytkownicy-zaloguj-form', 'enableAjaxValidation' => FALSE )); ?> <p>Pola oznaczone * są wymagane</p> <?php echo $form->errorSummary($Model); ?> <div class="row"> <?php echo $form->labelEx($Model, 'uzytkownik_login'); ?> <?php echo $form->textField($Model, 'uzytkownik_login'); ?> <?php echo $form->error($Model, 'uzytkownik_login'); ?> </div> <div class="row"> <?php echo $form->labelEx($Model, 'uzytkownik_haslo'); ?> <?php echo $form->passwordField($Model, 'uzytkownik_haslo'); ?> <?php echo $form->error($Model, 'uzytkownik_haslo'); ?> </div> <div class="row buttons"> <?php echo CHtml::submitButton('Zaloguj'); ?> </div> <?php $this->endWidget(); ?> </div> [PHP] pobierz, plaintext Kontroler: [PHP] pobierz, plaintext <?php class TestController extends Controller { public function actionIndex() { $this->pageTitle = 'Zaloguj'; $Model = new Uzytkownicy; if(isset($_POST['Uzytkownicy'])) { $Model->attributes = $_POST['Uzytkownicy']; if($Model->validate()) { $Ile = $Model->count( 'uzytkownik_login = :UzytkownikLogin AND uzytkownik_haslo = :UzytkownikHaslo', array( ':UzytkownikLogin' => $Model->attributes['uzytkownik_login'], ':UzytkownikHaslo' => $Model->attributes['uzytkownik_haslo'] )); if($Ile == 1) { Yii::app()->session['zalogowany'] = 'tak'; $Rezultat = $Model->findAll( 'uzytkownik_login = :UzytkownikLogin AND uzytkownik_haslo = :UzytkownikHaslo', array( ':UzytkownikLogin' => $Model->attributes['uzytkownik_login'], ':UzytkownikHaslo' => $Model->attributes['uzytkownik_haslo'] ) ); foreach ($Rezultat as $RezultatWiersz) { Yii::app()->session['root'] = $RezultatWiersz->uzytkownik_id; } } } } $this->render('index', array( 'Model' => $Model, )); } public function actionWyloguj() { Yii::app()->session['zalogowany'] = ''; Yii::app()->session['root'] = ''; $this->redirect(array('test/')); } } ?> [PHP] pobierz, plaintext Ten skrypt jest napisany na podstawie tej właśnie książki (a raczej w większości z niej przepisany z moimi lekkimi zmianami). Chciałbym się dowiedzieć czy tak przygotowany skrypt logowania jest bezpieczny i może być bez obaw zastosowany na stronach opublikowanych online? Bo powiem szczerze, że mam lekkie obawy gdyż wiem ile trzeba sobie zadać trudu pisząc coś takiego w czystym PHP (głównie chodzi o walidację). Przepraszam za tak laickie pytanie ale jestem mocno początkujący a do dyspozycji mam tylko tą książkę i dokumentację, która jest napisana dosyć ciężkim wg mnie językiem. Praktycznie nie ma innych źródeł w języku polskim. Pozdrawiam i z góry dziękuję za odpowiedzi.

Odpowiedzi

skorpionek93 Zobacz profil	14.04.2014, 17:51:24 Post #2
Grupa: Zarejestrowani Postów: 8 Pomógł: 0 Dołączył: 11.04.2014 Ostrzeżenie: (0%)	Witam ponownie. Po 2 dniach i przejrzeniu niezliczonej liczby stron i forów wreszcie naskrobałem działający formularz logowania ale, że jego bezpieczeństwo jest bardzo ważne to prosiłbym o sprawdzenie i pokazanie ewentualnych błędów/uchybień. Tam gdzie się da to nie będę wstawiał całego kodu tylko jego istotne fragmenty. Kontroler: [PHP] pobierz, plaintext public function actionLogin() { $model=new LoginForm; if(isset($_POST['LoginForm'])) { $model->attributes=$_POST['LoginForm']; if($model->validate() && $model->login()) { $this->redirect(Yii::app()->user->returnUrl); } } $this->render('login',array('model'=>$model)); } public function actionLogout() { Yii::app()->user->logout(); $this->redirect(Yii::app()->homeUrl); } [PHP] pobierz, plaintext LoginForm.php [PHP] pobierz, plaintext <?php class LoginForm extends CFormModel { public $username; public $password; public $rememberMe; private $_identity; public function rules() { return array( array('username, password', 'required'), array('rememberMe', 'boolean'), array('password', 'authenticate'), ); } public function attributeLabels() { return array( 'rememberMe' => 'Remember me next time', 'username' => 'Użytkownik', 'password' => 'Hasło', ); } public function authenticate($attribute,$params) { $this->_identity=new UserIdentity($this->username,$this->password); if(!$this->_identity->authenticate()) { $this->addError('password','Incorrect username or password.'); } } public function login() { if($this->_identity===null) { $this->_identity=new UserIdentity($this->username,$this->password); $this->_identity->authenticate(); } if($this->_identity->errorCode===UserIdentity::ERROR_NONE) { $duration=$this->rememberMe ? 36002430 : 0; Yii::app()->user->login($this->_identity,$duration); return true; } else { return false; } } } ?> [PHP] pobierz, plaintext Uzytkownicy.php [PHP] pobierz, plaintext <?php class Uzytkownicy extends CActiveRecord { public function tableName() { return 'spr_uzytkownicy'; } public function rules() { return array( array('uzytkownik_login, uzytkownik_haslo', 'required'), array('uzytkownik_login, uzytkownik_haslo', 'length', 'max'=>50), ); } public function relations() { return array( ); } public function attributeLabels() { return array( ); } public static function model($className=__CLASS__) { return parent::model($className); } } [PHP] pobierz, plaintext UserIdentity.php [PHP] pobierz, plaintext <?php class UserIdentity extends CUserIdentity { private $_id; public function authenticate() { $user=Uzytkownicy::model()->findByAttributes(array('uzytkownik_login'=>$this->username)); if($user===null) { $this->errorCode=self::ERROR_USERNAME_INVALID; } else if($user->uzytkownik_haslo != $this->password) { $this->errorCode=self::ERROR_PASSWORD_INVALID; } else { $this->_id=$user->uzytkownik_id; $this->username=$user->uzytkownik_login; $this->errorCode=self::ERROR_NONE; } return $this->errorCode==self::ERROR_NONE; } public function getId() { return $this->_id; } } [PHP] pobierz, plaintext Widok: [PHP] pobierz, plaintext <?php $form=$this->beginWidget('CActiveForm', array( //1 'id'=>'login-form', //2 'enableAjaxValidation'=>FALSE, )); ?> <div class="row"> <?php echo $form->labelEx($model,'username'); ?> <?php echo $form->textField($model,'username'); ?> <?php echo $form->error($model,'username'); ?> </div> <div class="row"> <?php echo $form->labelEx($model,'password'); ?> <?php echo $form->passwordField($model,'password'); ?> <?php echo $form->error($model,'password'); ?> </div> <div class="row rememberMe"> <?php echo $form->checkBox($model,'rememberMe'); ?> <?php echo $form->label($model,'rememberMe'); ?> <?php echo $form->error($model,'rememberMe'); ?> </div> <div class="row submit"> <?php echo CHtml::submitButton('Login'); ?> </div> <?php $this->endWidget(); ?> [PHP] pobierz, plaintext Co o tym sądzicie? Wydaje mi się, że jest to strasznie chaotycznie napisane bo to jest zlepek kilku formularzy przerobionych przeze mnie. Szczególnie mnie zastanawia czy nie dałoby się połączyć LoginForm.php i Użytkownicy.php w jeden model? Tylko wtedy musiałby dziedziczyć jednocześnie po CActiveRecord i CFormModel co jest chyba niemożliwe? Byłbym bardzo wdzięczny za wskazówki co można poprawić aby ten interfejs logowania był prostszy i bezpieczny. Mam jeszcze jedno pytanie. W książce z Helionu autor zalecał dodanie w config/main.php czegoś takiego: [PHP] pobierz, plaintext 'session' => array( 'class' => 'CDbHttpSession', 'connectionID' => 'db', 'sessionTableName' => 'spr_session' ), [PHP] pobierz, plaintext a w bazie danych tabelę sesji, w moim przypadku spr_session(id, expire, data). Może mi ktoś wytłumaczyć do czego to słuzy i co to ma dać? Bo testowałem zarówno z tym fragmentem jak i bez niego i firebug pokazuje dokładnie tak samo cookies sesyjne, a jedyna róznica jest w tym, że w tej tabeli zapisują się identyfikatory sesjii. Byłbym wdzięczny jakby mi to ktoś przy okazji wytłumaczył. Pozdrawiam i z góry dziękuję za odpowiedzi. Ten post edytował skorpionek93 14.04.2014, 17:51:47

Posty w temacie

skorpionek93 [inny] YII - logowanie 11.04.2014, 20:29:52

NetBeans Wybrałeś dobry framework, więc korzystaj z jego do... 11.04.2014, 20:51:43

skorpionek93 Witam ponownie. Po 2 dniach i przejrzeniu niezlicz... 14.04.2014, 17:51:24

Turson Kiedyś napisałem tak [PHP] pobierz, plaintext ... 14.04.2014, 18:05:50

NetBeans Wszystko fajnie, ale nie hashujesz hasła, albo ja ... 14.04.2014, 18:21:16

skorpionek93 Jeśli chodzi o hashowanie to w kilku przykładach b... 14.04.2014, 18:46:54

NetBeans W zasadzie pasowałoby w modelu użytkownika, ale że... 14.04.2014, 19:48:03

« Następny starszy · Frameworki · Następny nowszy »

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych: