[inny] YII - logowanie Opcje

[skorpionek93]

Witam.
Jestem nowy w temacie frameworków, YII jest pierwszym, którego się uczę więc jestem jeszcze lekko zagubiony. Przestudiowałem książke Helionu o YII (nie zachwyciła mnie szczerze mówiąc) ale nadala wielu rzeczy nie rozumiem. Moje pytanie dotyczy bezpieczeństwa takiego skryptu logowania:

Model:

[PHP] pobierz, plaintext 
<?php
 
class Uzytkownicy extends CActiveRecord
{
 
	public function tableName()
	{
		return 'spr_uzytkownicy';
	}
 
 
	public function rules()
	{
 
		return array(
			array('uzytkownik_login, uzytkownik_haslo', 'required'),
			array('uzytkownik_login, uzytkownik_haslo', 'length', 'max'=>50),
		);
	}
 
 
	public function relations()
	{
 
		return array(
		);
	}
 
	public function attributeLabels()
	{
		return array(
			'uzytkownik_id' => 'ID',
			'uzytkownik_login' => 'Login',
			'uzytkownik_haslo' => 'Hasło',
		);
	}
 
	public static function model($className=__CLASS__)
	{
		return parent::model($className);
	}
}
?>
[PHP] pobierz, plaintext 

Widok

[PHP] pobierz, plaintext 
<h1>Zaloguj się</h1>
<div class="form">
 
<?php
 
$form=$this->beginWidget('CActiveForm', array(
 
    'id' => 'uzytkownicy-zaloguj-form',
    'enableAjaxValidation' => FALSE
 
));
 
?>
 
    <p>Pola oznaczone * są wymagane</p>
 
 
<?php   echo $form->errorSummary($Model);   ?>
 
<div class="row">
<?php    echo $form->labelEx($Model, 'uzytkownik_login');   ?>
<?php    echo $form->textField($Model, 'uzytkownik_login');   ?>  
<?php    echo $form->error($Model, 'uzytkownik_login');   ?>    
</div>
 
<div class="row">
<?php    echo $form->labelEx($Model, 'uzytkownik_haslo');   ?>
<?php    echo $form->passwordField($Model, 'uzytkownik_haslo');   ?>  
<?php    echo $form->error($Model, 'uzytkownik_haslo');   ?>    
</div>
 
<div class="row buttons">
<?php    echo CHtml::submitButton('Zaloguj');   ?>
</div>
 
<?php   $this->endWidget(); ?>
 
</div>
[PHP] pobierz, plaintext 

Kontroler:

[PHP] pobierz, plaintext 
<?php
 
class TestController extends Controller
{
 
	public function actionIndex()
	{
 
            $this->pageTitle = 'Zaloguj';
 
            $Model = new Uzytkownicy;
 
 
             if(isset($_POST['Uzytkownicy']))
            {
 
                 $Model->attributes = $_POST['Uzytkownicy'];
 
                if($Model->validate())
                {
 
                    $Ile = $Model->count(
 
                        'uzytkownik_login = :UzytkownikLogin AND uzytkownik_haslo = :UzytkownikHaslo',
                        array(
 
                            ':UzytkownikLogin' => $Model->attributes['uzytkownik_login'],
                            ':UzytkownikHaslo' => $Model->attributes['uzytkownik_haslo']
 
                        ));
 
                     if($Ile == 1)
                    {
 
                        Yii::app()->session['zalogowany'] = 'tak';
 
                        $Rezultat = $Model->findAll(
 
                        'uzytkownik_login = :UzytkownikLogin AND uzytkownik_haslo = :UzytkownikHaslo',
                        array(
 
                            ':UzytkownikLogin' => $Model->attributes['uzytkownik_login'],
                            ':UzytkownikHaslo' => $Model->attributes['uzytkownik_haslo']
 
                        )
 
                        );
 
                        foreach ($Rezultat as $RezultatWiersz)
                        {
 
                            Yii::app()->session['root'] = $RezultatWiersz->uzytkownik_id;
 
                        }
                }
 
 
            }
 
            }
 
            $this->render('index', array(
 
                'Model' => $Model,
 
            ));
 
 
}
 
        public function actionWyloguj()
	{
 
            Yii::app()->session['zalogowany'] = '';
 
            Yii::app()->session['root'] = '';
 
            $this->redirect(array('test/'));
	}
 
}
?>
[PHP] pobierz, plaintext 

Ten skrypt jest napisany na podstawie tej właśnie książki (a raczej w większości z niej przepisany z moimi lekkimi zmianami).
Chciałbym się dowiedzieć czy tak przygotowany skrypt logowania jest bezpieczny i może być bez obaw zastosowany na stronach opublikowanych online?
Bo powiem szczerze, że mam lekkie obawy gdyż wiem ile trzeba sobie zadać trudu pisząc coś takiego w czystym PHP (głównie chodzi o walidację).
Przepraszam za tak laickie pytanie ale jestem mocno początkujący a do dyspozycji mam tylko tą książkę i dokumentację, która jest napisana dosyć ciężkim wg mnie językiem. Praktycznie nie ma innych źródeł w języku polskim.
Pozdrawiam i z góry dziękuję za odpowiedzi.

[NetBeans]

Wszystko fajnie, ale nie hashujesz hasła, albo ja nie widzę. Hasło trzymane w plain tekście to zło. Yii dostarcza fajny helper, który pomaga prawidłowo hashować hasła. Jego użycie jest banalnie proste. W zasadzie sprowadza się do wywołania dwóch metod, na pewno dasz sobie radę. Hasła hashowane metodami tej klasy są hashowane z użyciem mcryptu bodajże, a więc aktualnego standardu polecanego przez samo php.net.

http://www.yiiframework.com/doc/api/1.1/CPasswordHelper

Jeżeli chodzi o połączenie modelu Użytkownicy i LoginForm, to jest to niemożliwe. Dla początkujących w tym FW może wydać się to pogmatwane, ale ogólna zasada brzmi, że kiedy zapisujesz dane w bazie używaj ActiveRecord, a kiedy tylko pobierasz a potem porzucasz (np. formularz kontaktu, gdzie pobierasz dane, wysylasz maila i je porzucasz) to FormModel.

Sesje na bazie to fajna sprawa, szczególnie na współdzielonych hostingach. Nie będę tu teraz o tym mówił, bo to dość rozległy temat, ale: jeżeli chcesz większe bezpieczeństwo, użyj bazy danych.
Ciastko zawsze będzie, bo zawsze jest porównanie id z ciastka == id z bazy || id z ciastka == id na serwerze (gdzie normalnie trzymane są dane sesji).

Jeżeli masz jeszcze jakieś pytania, to pisz.

PS. Pod żadnym pozorem nie używaj SHA1 jak kolega wyżej oraz nie realizuj hashowania z UserIdentity, rób to w modelu.

Ten post edytował NetBeans 14.04.2014, 18:25:44