Klasa do autoryzacji użytkowników, prośba o opinię poprawności kodu "zaawansowanego programisty" Opcje

[Jarod]

Moje pytanie skierowane jest głównie do osób, które czytały książkę "PHP5 zaawansowane programowanie",
ponieważ problem dotyczy przykładu tam przedstawionego. W rozdziale 15 autor przedstawił klasę do obsługi
własnych sesji a w rozdziale 22 wdraża ją do użytku.

Na stronie 457 przedstawiony jest sposób logowania, który moim zdaniem jest całkowicie bez sensu. Przytoczę tutaj
główny kod:

[PHP] pobierz, plaintext 
<?php
(..)
(..)
(..)
 
$session = new WidgetSession (array ('phptype' => "pgsql",
									 'hostspec' => "localhost",
									 'database' => "artykulandia",
									 'username' => "wuser",
									 'password' => "foobar"));
 
$session->Impress();
(...)
 
if ($_REQUEST["action" == "login") {
   $session->login($_REQUEST["login_name"].$_REQUEST["login_pass"]);
   if ($session->isLoggedIn()) {
	 $smarty->assign_by_ref("user",$session->getUserObject());
	 $smarty_>display("main.tpl");
	 exit;
   }
   else {
	 $smarty->assign('error', "Nieudane logowanie...");
	 $smarty_>display("login.tpl");
	 exit;
   }
} else {
  if ($session->isLoggedIn() == true) {
	 $smarty->assign_by_ref("user",$session->getUserObject());
	 $smarty_>display("main.tpl");
	 exit;
  } 
}
?>
[PHP] pobierz, plaintext 

Mniej więcej tak to wygląda. Nie będę podawał kodu klasy bo za dużo pisania. Zresztą nie chodzi mi o sposób
napisania klasy. Wywoływany jest skrypt index.php, który sprawdza czy przesłano parametr action=login.
Jeżeli tak to znaczy, że dokonano próby logowania (wypełniono formularz i go wysłano), metoda sprawdza dane
w bazie - jeżeli się zgadzają ustawia właściwość prywatną klasy logged_in na true. Następnie metoda isLoggedIn()
sprawdza czy wartość właściwości logged_in ma wartość true - jeśli tak uznaje, że użytkownik się zalogował
i ma dostęp do super tajnych danych (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

Wszyscy wiemy, że protokół HTTP jest bezstanowy. Więc możemy sobie w jednym skrypcie utworzyć 100 obiektów,
ale jak przejdziemy do drugiego skrytpu (czyli zacznie być wykonywany inny skrypt) to te nasze 100 obiektów
poszło się jeb**.

Wiecie do czego zmierzam? Do tego, że stosując metodę autora po oddaniu sterownia do drugiego skryptu będziemy
musieli utworzyć od nowa obiekt, który będzie miał właściwość logged_in=false (bezstanowość protokołu - zgubiliśmy
dane, że użytkownik jest zalogowany) co wymusza przekierowanie na stronę logowania..

Nie odpalałem całego kodu bo nie chce mi się klepać z książki.. Ale uważam, że jeśli dodamy sprawdzanie
w każdym skrypcie czy użytkownik jest zalogowany to ten sposób nie zadziała. A trzeba sprawdzać czy użytkownik
jest zalogowany, że sprytny user zamiast wpisać www.testowa.pl nie wpisał www.testowa.pl/tajnedane.php i w ten
sposób pominął ekran logowania.


Co o tym myślicie? Bo ja czasem czytająć tą książke miałem wrażenie, że autorzy nie wiedzą co piszą albo piszą kod od niechcenia.

[thornag]

@Turgon, nie twierdze ze nie nauczyla ale przy okazji niezle namieszla, bede juz jej zagorzlym przeciwnikiem i kropka (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) oczywiscie zdaje sobie sprawe ze nie altorzy tylko tlumacze, ale i w kodzie udalo mi sie kilka bledow wychwycic ;P

Co do artu Zyxa nie uwazam zeby bylo to zla praktyka, jak dla mnie SessionHandler i nazijmy to UserHandler powinny byc dwoma oddzielnymi komponentami, niech SH handluje sesje a UH korzysta z SH, nie potrzeben mi wtedy w SH metody do sprawdzania zalogowania uzytkownika czy tez logowania go.

Chyba sie troche zagalopowalismy i zeszlismy z tematu, (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

edit: ehh przetarlem oczeta. w KOD ingerowali tlumacze ? (IMG:http://forum.php.pl/style_emoticons/default/blinksmiley.gif) Ze zapytam kiego grzyba ?

Ten post edytował thornag 11.10.2006, 15:36:12