Klasa do autoryzacji użytkowników, prośba o opinię poprawności kodu "zaawansowanego programisty" Opcje

[Jarod]

Moje pytanie skierowane jest głównie do osób, które czytały książkę "PHP5 zaawansowane programowanie",
ponieważ problem dotyczy przykładu tam przedstawionego. W rozdziale 15 autor przedstawił klasę do obsługi
własnych sesji a w rozdziale 22 wdraża ją do użytku.

Na stronie 457 przedstawiony jest sposób logowania, który moim zdaniem jest całkowicie bez sensu. Przytoczę tutaj
główny kod:

[PHP] pobierz, plaintext 
<?php
(..)
(..)
(..)
 
$session = new WidgetSession (array ('phptype' => "pgsql",
									 'hostspec' => "localhost",
									 'database' => "artykulandia",
									 'username' => "wuser",
									 'password' => "foobar"));
 
$session->Impress();
(...)
 
if ($_REQUEST["action" == "login") {
   $session->login($_REQUEST["login_name"].$_REQUEST["login_pass"]);
   if ($session->isLoggedIn()) {
	 $smarty->assign_by_ref("user",$session->getUserObject());
	 $smarty_>display("main.tpl");
	 exit;
   }
   else {
	 $smarty->assign('error', "Nieudane logowanie...");
	 $smarty_>display("login.tpl");
	 exit;
   }
} else {
  if ($session->isLoggedIn() == true) {
	 $smarty->assign_by_ref("user",$session->getUserObject());
	 $smarty_>display("main.tpl");
	 exit;
  } 
}
?>
[PHP] pobierz, plaintext 

Mniej więcej tak to wygląda. Nie będę podawał kodu klasy bo za dużo pisania. Zresztą nie chodzi mi o sposób
napisania klasy. Wywoływany jest skrypt index.php, który sprawdza czy przesłano parametr action=login.
Jeżeli tak to znaczy, że dokonano próby logowania (wypełniono formularz i go wysłano), metoda sprawdza dane
w bazie - jeżeli się zgadzają ustawia właściwość prywatną klasy logged_in na true. Następnie metoda isLoggedIn()
sprawdza czy wartość właściwości logged_in ma wartość true - jeśli tak uznaje, że użytkownik się zalogował
i ma dostęp do super tajnych danych (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

Wszyscy wiemy, że protokół HTTP jest bezstanowy. Więc możemy sobie w jednym skrypcie utworzyć 100 obiektów,
ale jak przejdziemy do drugiego skrytpu (czyli zacznie być wykonywany inny skrypt) to te nasze 100 obiektów
poszło się jeb**.

Wiecie do czego zmierzam? Do tego, że stosując metodę autora po oddaniu sterownia do drugiego skryptu będziemy
musieli utworzyć od nowa obiekt, który będzie miał właściwość logged_in=false (bezstanowość protokołu - zgubiliśmy
dane, że użytkownik jest zalogowany) co wymusza przekierowanie na stronę logowania..

Nie odpalałem całego kodu bo nie chce mi się klepać z książki.. Ale uważam, że jeśli dodamy sprawdzanie
w każdym skrypcie czy użytkownik jest zalogowany to ten sposób nie zadziała. A trzeba sprawdzać czy użytkownik
jest zalogowany, że sprytny user zamiast wpisać www.testowa.pl nie wpisał www.testowa.pl/tajnedane.php i w ten
sposób pominął ekran logowania.


Co o tym myślicie? Bo ja czasem czytająć tą książke miałem wrażenie, że autorzy nie wiedzą co piszą albo piszą kod od niechcenia.

[Turgon]

Otóż tutaj klasa pobiera native_session_id z bazy jako id porządkowe normalne, a nie id sesji. Po za tym ta klasa to już po prostu UserSession.
Nigdy tej klasy nie używałem, tylko na jej podstawie zbudowałem to co chciałem tzn. SessionHandler dla mojego Frameworka...