Klasa do autoryzacji użytkowników, prośba o opinię poprawności kodu "zaawansowanego programisty" Opcje

[Jarod]

Moje pytanie skierowane jest głównie do osób, które czytały książkę "PHP5 zaawansowane programowanie",
ponieważ problem dotyczy przykładu tam przedstawionego. W rozdziale 15 autor przedstawił klasę do obsługi
własnych sesji a w rozdziale 22 wdraża ją do użytku.

Na stronie 457 przedstawiony jest sposób logowania, który moim zdaniem jest całkowicie bez sensu. Przytoczę tutaj
główny kod:

[PHP] pobierz, plaintext 
<?php
(..)
(..)
(..)
 
$session = new WidgetSession (array ('phptype' => "pgsql",
									 'hostspec' => "localhost",
									 'database' => "artykulandia",
									 'username' => "wuser",
									 'password' => "foobar"));
 
$session->Impress();
(...)
 
if ($_REQUEST["action" == "login") {
   $session->login($_REQUEST["login_name"].$_REQUEST["login_pass"]);
   if ($session->isLoggedIn()) {
	 $smarty->assign_by_ref("user",$session->getUserObject());
	 $smarty_>display("main.tpl");
	 exit;
   }
   else {
	 $smarty->assign('error', "Nieudane logowanie...");
	 $smarty_>display("login.tpl");
	 exit;
   }
} else {
  if ($session->isLoggedIn() == true) {
	 $smarty->assign_by_ref("user",$session->getUserObject());
	 $smarty_>display("main.tpl");
	 exit;
  } 
}
?>
[PHP] pobierz, plaintext 

Mniej więcej tak to wygląda. Nie będę podawał kodu klasy bo za dużo pisania. Zresztą nie chodzi mi o sposób
napisania klasy. Wywoływany jest skrypt index.php, który sprawdza czy przesłano parametr action=login.
Jeżeli tak to znaczy, że dokonano próby logowania (wypełniono formularz i go wysłano), metoda sprawdza dane
w bazie - jeżeli się zgadzają ustawia właściwość prywatną klasy logged_in na true. Następnie metoda isLoggedIn()
sprawdza czy wartość właściwości logged_in ma wartość true - jeśli tak uznaje, że użytkownik się zalogował
i ma dostęp do super tajnych danych (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

Wszyscy wiemy, że protokół HTTP jest bezstanowy. Więc możemy sobie w jednym skrypcie utworzyć 100 obiektów,
ale jak przejdziemy do drugiego skrytpu (czyli zacznie być wykonywany inny skrypt) to te nasze 100 obiektów
poszło się jeb**.

Wiecie do czego zmierzam? Do tego, że stosując metodę autora po oddaniu sterownia do drugiego skryptu będziemy
musieli utworzyć od nowa obiekt, który będzie miał właściwość logged_in=false (bezstanowość protokołu - zgubiliśmy
dane, że użytkownik jest zalogowany) co wymusza przekierowanie na stronę logowania..

Nie odpalałem całego kodu bo nie chce mi się klepać z książki.. Ale uważam, że jeśli dodamy sprawdzanie
w każdym skrypcie czy użytkownik jest zalogowany to ten sposób nie zadziała. A trzeba sprawdzać czy użytkownik
jest zalogowany, że sprytny user zamiast wpisać www.testowa.pl nie wpisał www.testowa.pl/tajnedane.php i w ten
sposób pominął ekran logowania.


Co o tym myślicie? Bo ja czasem czytająć tą książke miałem wrażenie, że autorzy nie wiedzą co piszą albo piszą kod od niechcenia.

[dr_bonzo]

A czy w konstruktorze $native_session_id nie jest jakos inicjowane?
Bez reszty kodu trudno mi powiedziec co sie tam dzieje.

[Jarod]

A czy w konstruktorze $native_session_id nie jest jakos inicjowane?

No właśnie nie.

Bez reszty kodu trudno mi powiedziec co sie tam dzieje.

Tu wklejam kod klasu UserSession. Na tym kodzie opiera się WidgetSession

[PHP] pobierz, plaintext 
<?php
  class UserSession {
	private $php_session_id;
	private $native_session_id;
	private $dbhandle;
	private $logged_in;
	private $user_id;
	private $session_timeout = 600;	  # 10 minutowy maksymalny czas nieaktywności sesji
	private $session_lifespan = 3600;	# 1 godzinny maksymalny czas trwania sesji.
 
	public function __construct() {
	  # Łączy z bazą danych
	  $this->dbhandle = pg_connect("host=db dbname=prophp5 user=edek")  or die ("Błąd PostgreSQL: --> " . pg_last_error($this->dbhandle));
	  # Inicjalizuje mechanizm obsługi sesji
	  session_set_save_handler(
		  array(&$this, '_session_open_method'), 
		  array(&$this, '_session_close_method'), 
		  array(&$this, '_session_read_method'), 
		  array(&$this, '_session_write_method'), 
		  array(&$this, '_session_destroy_method'), 
		  array(&$this, '_session_gc_method')
	  );
	  # Sprawdza przesłane cookie o ile je przesłano; jeżeli wygląda podejrzanie zosta
ja z miejsca anulowane	 
	  $strUserAgent = $GLOBALS["HTTP_USER_AGENT"];
	  if ($_COOKIE["PHPSESSID"]) {
	   # Kontrola bezpieczeństwa i ważności
	   $this->php_session_id = $_COOKIE["PHPSESSID"];
	   $stmt = "SELECT id FROM "sesja_uzytkownika" WHERE identyfikator_sesji_ascii = '" . $this->php_session_id . "' AND ((now() - utworzono) < ' " . $this->session_lifespan . " seconds') AND user_agent='" . $strUserAgent . "' AND ((now() - ostatnia_reakcja) <= '".$this->session_timeout." seconds' OR ostatnia_reakcja IS NULL)";
	   $result = pg_query($stmt);
	   if (pg_num_rows($result)==0) {
		 # Ustawia znacznik niepowodzenia
		  $failed = 1;
		 # Usuwa z bazy danych - w tym samym czasie usuwane są przeterminowane sesje
		 $result = pg_query("DELETE FROM "sesja_uzytkownika" WHERE (identyfikator_sesji_ascii = '". $this->php_session_id . "') OR (now() - utworzono) > $maxlifetime)");
		 # Usuwa nieprzydatne zmienne sesji
		 $result = pg_query("DELETE FROM "zmienna_sesji" WHERE identyfikator_sesji NOT IN (SELECT id FROM "sesja_użytkownika")");
		 # Pozbywa się identyfikatora, wymuszając na php nadanie nowego
		 unset($_COOKIE["PHPSESSID"]);
	   };  
	  };
	  # Ustawia czas życia cookie
	  session_set_cookie_params($this->session_lifespan);
	  # Wywołuje metodę session_start by zainicjować sesję
	  session_start();
	}
 
	public function Impress() {
	  if ($this->native_session_id) {
		$result = pg_query("UPDATE "sesja_uzytkownika" SET ostatnia_reakcja = now() WHERE id = " . $this->native_session_id);
	  };
	}
 
	public function IsLoggedIn() {
	  return($this->logged_in);
	}
 
	public function GetUserID() {
	  if ($this->logged_in) {
		return($this->user_id);
	  } else {
		return(false);
	  };
	}
 
	public function GetUserObject() {
	  if ($this->logged_in) {
		if (class_exists("user")) {
		  $objUser = new User($this->user_id);
		  return($objUser);
		} else {
		  return(false);
		};
	  };
	}
 
	public function GetSessionIdentifier() {
	  return($this->php_session_id);
	}
 
	public function Login($strUsername, $strPlainPassword) {
	   $strMD5Password = md5($strPlainPassword);
	   $stmt = "SELECT id FROM "uzytkownik" WHERE nazwa_uzytkownika = '$strUsername' AND md5_haslo = '$strMD5Password'";
	   $result = pg_query($stmt);
	   if (pg_num_rows($result)>0) {
		  $row = pg_fetch_array($result);
		  $this->user_id = $row["id"];
		  $this->logged_in = true;
		  $result = pg_query("UPDATE "sesja_uzytkownika" SET zalogowany = true, identyfikator_uzytkownika = " . $this->user_id . " WHERE id = " . $this->native_session_id);
		  return(true);
	   } else {
		  return(false);
	   };
	}
 
	public function LogOut() {
	   if ($this->logged_in == true) {
		  $result = pg_query("UPDATE "sesja_uzytkownika" SET zalogowany = false, identyfikator_uzytkownika = 0 WHERE id = " . $this->native_session_id);
		  $this->logged_in = false;
		  $this->user_id = 0;
		  return(true);
	   } else {
		  return(false);
	   };
	}
 
	public function __get($nm) {
	   $result = pg_query("SELECT wartosc_zmiennej FROM zmienna_sesji WHERE identyfikator_sesji = " . $this->native_session_id . " AND nazwa_zmiennej = '" . $nm . "'");
	   if (pg_num_rows($result)>0) {
		  $row = pg_fetch_array($result);
		  return(unserialize($row["wartosc_zmiennej"]));
	   } else {
		  return(false);
	   };
	}
 
 
	public function __set($nm, $val) {
	   $strSer = serialize($val);
	   $stmt = "INSERT INTO zmienna_sesji(identyfikator_sesji, nazwa_zmiennej, wartosc_zmiennej) VALUES(" . $this->native_session_id . ", '$nm', '$strSer')";
	   $result = pg_query($stmt);
	}
 
 
	private function _session_open_method($save_path, $session_name) {
	  # Do nothing
	  return(true);
	}
 
	private function _session_close_method() {
	  pg_close($this->dbhandle);
	  return(true);
	}
 
	private function _session_read_method($id) {
	   # Służy do ustalenia, czy nasza sesja w ogóle istnieje
	   $strUserAgent = $GLOBALS["HTTP_USER_AGENT"];
	   $this->php_session_id = $id;
	   # Na razie ustawia znacznik niepowodzenie na 1
	   $failed = 1;
	   # Sprawdza czy sesja istnieje w bazie danych
	   $result = pg_query("SELECT id, zalogowany, identyfikator_uzytkownika FROM "sesja_uzytkownika" WHERE identyfikator_sesji_ascii = '$id'");
	   if (pg_num_rows($result)>0) {
		  $row = pg_fetch_array($result);
		  $this->native_session_id = $row["id"];
		  if ($row["zalogowany"]=="t") {
			 $this->logged_in = true;
			 $this->user_id = $row["identyfikator_uzytkownika"];
		  } else {
			 $this->logged_in = false;
		  };
	   } else {
		  $this->logged_in = false;
		  # Konieczne jest stworzenie wpisu w bazie danych
		  $result = pg_query("INSERT INTO sesja_uzytkownika(identyfikator_sesji_ascii, zalogowany, identyfikator_uzytkownika, utworzono
, user_agent) VALUES ('$id','f',0,now(),'$strUserAgent')");
		  # Teraz pobiera prawdziwy identyfikator
		  $result = pg_query("SELECT id from "sesja_uzytkownika" WHERE identyfikator_sesji_ascii = '$id'");
		  $row = pg_fetch_array($result);
		  $this->native_session_id = $row["id"];
	   };
	   # Zwraca jedynie ciąg pusty
	   return("");
	}
 
	private function _session_write_method($id, $sess_data) {
	   return(true);
	}
 
	private function _session_destroy_method($id) {
	   $result = pg_query("DELETE FROM "sesja_uzytkownika" WHERE identyfikator_sesji_ascii = '$id'");
	   return($result);
	}
 
 
	private function _session_gc_method($maxlifetime) {
	  return(true);
	}
 
 
  }
?>
[PHP] pobierz, plaintext