[PHP][MYSQL]Logowanie + Rejestracja. Opcje

[K4mil94]

Witam!. Chcę w końcu napisać porządny skrypt rejestracji. Dotychczas używałem parę if'ów tak aby po dobrym przejściu weryfikacji wykonało zapytanie. Co do logowania, używałem również tylko if'ów mysql_fetch_array i tyle byle dojść do utworzenia sesji. Proszę o jakieś dobre porady aby napisać te skrypty porządnie Z góry dzieki

[Foxx]

Np. taka porada: skorzystaj z wyszukiwarki forum i znajdziesz kilkaset postów o logowaniu, jest w nich wszystko co można na ten temat powiedzieć

[ikssde]

Napisz sobie klasę do obsługi tego wszystkiego o czym powiedziałeś. Zresztą tak jak Foxx już powiedział, na tym forum jest wiele postów odnośnie tego zagadnienia.

[Fifi209]

K4mil94 a ja Ci powiem, że chętnie się dołączę (o ile oczywiście Wać Pan pozwoli). ;p
Zawsze chciałem napisać coś lepszego, po czym brałem się do pracy i tak ciągle powstawało coś nowego. Teraz chciałbym na prawdę coś PRO napisać. ;d Odezwij się na pw jak coś.

[InosU31]

Witam

ja tez pisze narazie na if'ach;-) ktos na tym forum napisal ze niewazne jak napiszesz skrypt czy oparty na clasach czy tylko na samych instrukcjach wazne zeby dzialalo.

mysle ze jak chcesz bardziej "profesionalnie" to napisac - tez sam sie bede niedlugo przymierzal do "profesjonalniejszego" zapisu - to pewnie bedziesz musial uzyc:

klas
funkcji
sesji
zabezpieczenia hasel
baza danych mysql


ale ja narazie sie ucze wiec chetnie tez poslucham opinii innych;-)
pozdrawiam

[Fifi209]

Witam

ja tez pisze narazie na if'ach;-) ktos na tym forum napisal ze niewazne jak napiszesz skrypt czy oparty na clasach czy tylko na samych instrukcjach wazne zeby dzialalo.

mysle ze jak chcesz bardziej "profesionalnie" to napisac - tez sam sie bede niedlugo przymierzal do "profesjonalniejszego" zapisu - to pewnie bedziesz musial uzyc:

klas
funkcji
sesji
zabezpieczenia hasel
baza danych mysql
ale ja narazie sie ucze wiec chetnie tez poslucham opinii innych;-)
pozdrawiam

Tak szczerze to nie widziałem jeszcze systemu, który na w/w elementach nie byłby oparty (przynajmniej żaden z moich )

Poza tym wyobraź sobie trzymanie userów np. jako pliki tekstowe... no bez jaj.

[K4mil94]

nom, ja tylko w mysql, i ify no i sesje i md5 oczywiscie. wczesniej mialem skrypt na funkcjach

Ten post edytował K4mil94 29.03.2009, 21:53:27

[ikssde]

Pisanie na klasach ma przyszłość i metoda/styl nie pozostaje bez znaczenia. Także sugeruje wam napisanie czegoś takiego w oparciu o klasy, przede wszystkim ze względu na wygodę użytkowania i późniejszej konserwacji.

Jeżeli chodzi o schemat działania, to polecam sesje i tu dzięki klasom macie nieograniczone pole działania. Piszecie sobie funkcje odpowiedzialną za filtrowanie danych, tworzenie sesji, odczytywanie z bazy, itp. Tak to powinno pracować.

[Fifi209]

nom, ja tylko w mysql, i ify no i sesje i md5 oczywiscie. wczesniej mialem skrypt na funkcjach

Jest już dużo słowników md5, moim zdaniem lepiej używać sha1 lub rsa.
Najlepiej pracuje się w OOP, gdyż wszystkie dane masz zhermetyzowane i taka klasa jest łatwo rozszerzalna o nowe metody.

@edit
Pan Up mnie uprzedził z tymi klasami. ;d

@up
Też uważam, że stworzenie własnego session handlera to dobry pomysł. (przynajmniej, jeżeli chodzi o jakość zabezpieczeń)

Ten post edytował fifi209 29.03.2009, 21:56:40

[InosU31]

Tak szczerze to nie widziałem jeszcze systemu, który na w/w elementach nie byłby oparty (przynajmniej żaden z moich )

Poza tym wyobraź sobie trzymanie userów np. jako pliki tekstowe... no bez jaj.

chodzilo mi raczej o to :

mam taki skrypt

[PHP] pobierz, plaintext 
<?php
 
include_once "common/func_form.php";
include_once "common/connect.php";
    
    if (!isset($_POST['login'])&&(!isset($_POST['haslo'])))
    {
        formReg("Aby sie zarejestrowac musisz wypelnic ponizszy formularz<br>");
        exit();
    }
    else
    {    
    $register_login = $_POST['login'];
    $register_passwd = $_POST['haslo'];
        
        if (!is_numeric($register_login) and (!empty($register_login)) && (!empty($register_passwd) and $register_passwd !== NULL ))
        {
            if ((strlen($register_login) >= 4) && (strlen($register_passwd) >= 5))
            { 
            $register_passwd = sha1($register_passwd);
            $sql_select = mysql_query ("SELECT * FROM users_session WHERE user_login = '$register_login' and user_password = '$register_passwd'") or die ("nie znaleziono takiego usera");    
            
            if (mysql_num_rows($sql_select) == 0)
            {
            $sql_select = mysql_query("
            INSERT INTO users_session (user_login, user_password) 
            VALUES ('$register_login', '$register_passwd')
            ");    
            echo "dodano usera";
            }
            else
                {
                formReg("Taki uzytkownik juz istnieje!<br>");
                exit();
                }
            }
            else 
            {    
            if ((strlen($register_login) >= 4) && (strlen($register_passwd) < 5))
            {
            echo formReg("haslo jest za krotkie");
            exit();
            }
            else if ((strlen($register_login) < 4) && (strlen($register_passwd) >= 5))
            {
            formReg("login jest za krotki");
            exit();
            }
            formReg("haslo i login sa za krotkie");
            }    
        }
        
        if (is_numeric($register_login) or (is_numeric($register_passwd)))
        {
            formReg("NIE MOZNA WPISYWAC LICZB<br>");    
        }
        //else
        if (empty($register_login) || (empty($register_passwd)))
        {
            if (empty($register_login) && (empty($register_passwd)))
            {
            formReg("FORMULARZ NIE MOZE BYC PUSTY<br>");
            }
            else
            {
            formReg("MUSZA BYC WYPELNIONE OBA POLA<br>");
            }        
        }
    
    } 
 
 
?>
[PHP] pobierz, plaintext 

a chce go przerobic na funkcje i klasy ;-) zle mnie zrozumiales ;_) Pozatym nie wiem jak moze byc to profesjonalniej K4mil94 tobie o kalsy chodzi czy cos innego

pozdrawiam

[K4mil94]

o funkcje, masz np. plik fukncje.php a w nim wszystko potem require i wywołujesz funkcje.

[Fifi209]

O boże! Masa kodu. ;d

Ja mam taki kawałek kodu ze starego systemu:

[PHP] pobierz, plaintext 
<?php
class security {
        
        static public function isLogin() {
            if ($_SESSION['login'] == TRUE) {
                if ($_SESSION['ip'] === $_SERVER['REMOTE_ADDR']) {
                    return TRUE;
                }else{
                error::save('Błąd! Próba przejęcia sesji!', ERR_CRITICAL);
                return FALSE;
                }
            }else{
                return FALSE;
            }
        }
        
        static public function getInfo() {
            if (self::isLogin() == TRUE) {
                return $info = array('id' => $_SESSION['id'], 'name' => $_SESSION['name'], 'access' => $_SESSION['access']);
            }else{
                error::save('Nie jesteś zalogowany!', ERR_NORMAL);
                return FALSE;
            }
        }
        
        static public function login($user, $pass) {
            if (self::isLogin() != TRUE) {
                $user = self::nohack($user);
                $pass = sha1($pass);
                $sql = mysql::select('*', 'users', 'WHERE `name` = "'.$user.'" LIMIT 1');
                if ($sql[0]['password'] == $pass) {
                    $_SESSION['login'] = TRUE;
                    $_SESSION['id'] = $sql[0]['id'];
                    $_SESSION['name'] = $sql[0]['name'];
                    $_SESSION['ip'] = $_SERVER['REMOTE_ADDR'];
                    return TRUE;
                }else{
                    return FALSE;
                }
            }else{
                return TRUE;
            }
        }
                
        static public function logout() {
            if (self::isLogin() == TRUE) {
                unset($_SESSION);
                session_destroy();
                return TRUE;
            }else{
                error::save('Nie jesteś zalogowany!', ERR_NORMAL);
                return FALSE;
            }
        }
        
        static public function nohack($string) {
            $string = mysql_real_escape_string($string);
            //$string = htmlspecialchars($string);
            return $string;
        }
        
 
    }
?>
[PHP] pobierz, plaintext 

[ikssde]

Przykładowa klasa :

[PHP] pobierz, plaintext 
<?php
class auth {
  
  private $user;
  private $password;
  
  private function filter($input)
  {
  ... filtrowanie danych...
  }
  
  public function login()
  {
  $this->user = $this->filter($_POST['user']);
  $this->password = $this->filter($_POST['password']);
  ... sprawdzanie czy taki jest ... logowanie ...
  }
  
  public function logout()
  {
  ...wylogowywanie...
  }
?>
[PHP] pobierz, plaintext 

Ten post edytował ikssde 29.03.2009, 22:07:34

[K4mil94]

na klasach jeszcze nie potrafie dobrze operowac ;] bedzie trzba w manual zajrzec.

[Fifi209]

na klasach jeszcze nie potrafie dobrze operowac ;] bedzie trzba w manual zajrzec.

Masz okazję się nauczyć. ;d
Ja bez OOP nie wyobrażam sobie programowania. ;d Czasami piszę nawet małą klasę z jedną, dwoma metodami z czasem rozrastają się np. do 30-50 metod. a wszystko szybko i sprawnie.

[InosU31]

O boże! Masa kodu. ;d

ja dopiero sie ucze a za klasy wezme jak uporam z do konca z sesjami, instrukcjami, i funkcjami;-)

Pozdrawiam


a co to OOP??

[K4mil94]

sesje, indtrukcje, funkcje - to jest dla mnie teraz banał. klasy już będą trudniejsze.

[Fifi209]

Zapraszam: (Ci chętni wiedzy)

OOP

[InosU31]

Zapraszam: (Ci chętni wiedzy)

OOP

hehe no to juz juz wiem;-)

[piotrooo89]

kurcze mówicie PRO. a teraz zdefiniujcie to proszę. czy pro jest to że ktoś pisze jakiś skrypt w OOP? ten skrypt jeśli ktoś nie będzie się znał na rzeczy może być równie podatny na ataki jak i skrypt napisany strukturalnie. dla jednego pro jest napisane czegoś strukturalnie i zabezpieczenie wszystkiego wszelkimi dostępnymi metodami. dla innego napisanie prostej klasy do autoryzacji która ma masę luk. a kto inny po prostu skorzysta z jakiegoś frameworka np. ZENDA i też będzie pro. każdy robi jak lubi. nie chce się tu zagłębiać w przewagę OOP na zwykłym, ale tak jak napisałem dla jednego PRO nie musi oznaczać tego samego dla innego.