Klasa Autoryzacji - prośba o opinie Opcje

[dopelganger]

Witam,
jestem początkujący w OOP i postanowiłem napisać własną klasę logowania. Poniżej kod klasy i jej użycie. Proszę o opinie, uwagi, będę wdzięczny. Nie wiem czy dobrze rozumię niektóre aspekty oop stąd moje zapytanie.
Dzięki.

[PHP] pobierz, plaintext 
// użycie klasy na stronie poniżej, pomijam formularz logowania HTML, jedynie kod PHP wklejam:
 
<?php
 
	$user = strip_tags(addslashes(trim($_POST["user"])));
	$password = strip_tags(addslashes(trim($_POST["password"])));
 
	$log = new Authorization();
	$log->setUser($user);
	$log->setPassword($password);
	$log->Login();
 
?>
[PHP] pobierz, plaintext 

Kod klasy:

[PHP] pobierz, plaintext 
<?php
 
class Authorization {
 
private $_user;
private $_password;
private $_dbpdo;
 
public function __construct() {
try
{
global $db;
$pdo = new PDO('mysql:host='.$db["Host"].';dbname='.$db["Name"], $db["User"], $db["Password"]);
$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
$this->_dbpdo = $pdo;
}	
catch(PDOException $error)
{
echo $error->getMessage();
}
}
 
public function setUser($user) {
$this->_user = $user; 
}
 
public function setPassword($password) {
$this->_password = $password; 
}
 
public function getUser() {
return $this->_user;
}
 
public function getPassword() {
return $this->_password;
}
 
public function validateUsr() {
if ( ($this->getUser())=='' || ($this->getPassword())=='' ) {
echo '<p class="errorMsg">Wprowadź login i hasło!</p>';
exit;
}
}
 
public function checkIsUsr() {
$password = @md5($this->getPassword());
$sql = $this->_dbpdo->prepare("SELECT * FROM users WHERE login=:user AND password=:password LIMIT 1");
$sql->bindValue(':user',$this->getUser(),PDO::PARAM_STR);
$sql->bindValue(':password',$password,PDO::PARAM_STR);
$sql->execute();
if ($row = $sql->fetch()) {
return array($row['id'], $row['login']);
} else {
echo '<p class="errorMsg">Nieprawidłowy login i/lub hasło!</p>';
exit;
}
$sql->closeCursor();
}
 
public function Login() {
$this->validateUsr();
$data_user = $this->checkIsUsr();
@session_start();
$_SESSION['id_usr'] = $data_user[0];
$_SESSION['login_usr'] = $data_user[1];
ini_set('session.cookie_httponly', 1);
@session_regenerate_id();
}
 
}
 
?>
[PHP] pobierz, plaintext 

Ten post edytował dopelganger 21.08.2013, 09:20:11

[nospor]

1) addlashes nie sluzy do zabezpieczania danych wkladanych do bazy
2) Skoro uzywasz PDO i bindowania to jestes juz bezpieczny
3) Klasa nie powinna walic na ekran zadnych komunikatow.
4) A juz na pewno klasa nie powinna robic zadnych EXITów

[dopelganger]

1) addlashes nie sluzy do zabezpieczania danych wkladanych do bazy
2) Skoro uzywasz PDO i bindowania to jestes juz bezpieczny
3) Klasa nie powinna walic na ekran zadnych komunikatow.
4) A juz na pewno klasa nie powinna robic zadnych EXITów

ok dzięki

[nospor]

1) Trzymanie hasla w czystym md5 jest w dzisiejszych czasach jednoznaczne z trzymaniem hasła w postaci jawnej
2) Wywal te malpy @
3) Klasa nie powinna robic łączenia z bazą. Klasa to połączenie ma otrzymać

Powód edycji: [nospor]:

[dopelganger]

1) Trzymanie hasla w czystym md5 jest w dzisiejszych czasach jednoznaczne z trzymaniem hasła w postaci jawnej
2) Wywal te malpy @


Klasa nie powinna robic łączenia z bazą. Klasa to połączenie ma otrzymać

zamiast md5 stosować inną funkcję ? jeśli tak to jaką, lub w jaki sposób hashować?

[nospor]

http://forum.php.pl/index.php?showtopic=44...t=0&start=0
Przeczytaj caly watek

[dopelganger]

a mam jeszcze jedno pytanie po części powiązane z tym tematem:
czy session_start() i połączenie z bazą wywoływać w momencie kiedy wykonuję jakąś operacje na bazie itp, czy umieścić to tylko raz w pliku np. index.php ?
np:

[PHP] pobierz, plaintext 
 
session_start();
connectDB();
 
include 'strona.php'; // itd, itp..... <body>{$body}</body>
 
[PHP] pobierz, plaintext 

Co jest dobrą/ lepszą praktyką?

[nospor]

Z sesjo korzysta sie takze gdy user nie jest zalogowany, wiec sesja powinna sie startowac zawsze na poczatku skryptu glownego. No ale roznie ludzie robią

[jackraymund]

Ja bym nie generował za każdym razem nowej sesji.
session_id zwraca id sesji, więc jeżeli jest pusta można stworzyć nową sesje.(session_start())
Jak chcesz wrócić do starej sesji to ustawiasz session_id($_COOKIE[session_name()]);

[nospor]

Ja bym nie generował za każdym razem nowej sesji.

On nie generuje za kazdym razem nowej sesji, tylko podczas logowania zmienia ID sesji - to akurat dobry myk

[dopelganger]

no dobra, troche pozmieniałem, ale też troche sie pogubiłem w tym wszystkim, niby klasa działa, ale ... czuje to "ale" wewnętrzny głos, który mówi mi, że nadal coś może być nie tak. Głównie chodzi mi o usunięcie "echo z klasy. Hmmm wobec tego muszę użyć metod podczas użycia klasy, czy tak? :

[PHP] pobierz, plaintext 
<?php
 
	$user = strip_tags(trim($_POST["user"]));
	$password = strip_tags(trim($_POST["password"]));
 
	$log = new Authorization();
	$log->setUser($user);
  	$log->setPassword($password);
 
	if ( ($log->validateUsr()) == false ) {
	echo '<p class="errorMsg">Wprowadź login i hasło!</p>';
	} else if ( ($log->Login()) == false ) {
	echo '<p class="errorMsg">Nieprawidłowy login i/lub hasło!</p>';
	} else {
	echo 'Witaj: '.$_SESSION['login_usr'];
	}
?>
[PHP] pobierz, plaintext 

a dalej kod klasy zmieniony wg. wskazówek (oprócz hashowania, to jeszcze badam teren)

[PHP] pobierz, plaintext 
<?php
 
class Authorization {
 
private $_user;
private $_password;
private $_dbpdo;
 
public function __construct() {
try
{
global $pdo;
$this->_dbpdo = $pdo;
}	
catch(PDOException $error)
{
return $error->getMessage();
}
}
 
public function setUser($user) {
$this->_user = $user; 
}
 
public function setPassword($password) {
$this->_password = $password; 
}
 
public function getUser() {
return $this->_user;
}
 
public function getPassword() {
return $this->_password;
}
 
public function validateUsr() {
if ( ($this->getUser())=='' || ($this->getPassword())=='' ) {
return false;
} else {
return true;
}
}
 
public function Login() {
$password = md5($this->getPassword());
$sql = $this->_dbpdo->prepare("SELECT * FROM users WHERE login=:user AND password=:password LIMIT 1");
$sql->bindValue(':user',$this->getUser(),PDO::PARAM_STR);
$sql->bindValue(':password',$password,PDO::PARAM_STR);
$sql->execute();
if ($row = $sql->fetch()) {
session_start();
$_SESSION['id_usr'] = $row['id'];
$_SESSION['login_usr'] = $row['login'];
ini_set('session.cookie_httponly', 1);
session_regenerate_id();
return true; 
} else {
return false;
}
$sql->closeCursor();
}
 
 
}
 
?>
[PHP] pobierz, plaintext 

[jackraymund]

[PHP] pobierz, plaintext 
if ( !$log->validateUsr()) {
	echo '<p class="errorMsg">Wprowadź login i hasło!</p>';
	} else if ( !$log->Login()) {
	echo '<p class="errorMsg">Nieprawidłowy login i/lub hasło!</p>';
	} else {
	echo 'Witaj: '.$_SESSION['login_usr'];
	}
[PHP] pobierz, plaintext 

tylko to mi się w oczy rzuciło, ! jest zaprzeczeniem np. !true == false, true != false

[dopelganger]

3) Klasa nie powinna walic na ekran zadnych komunikatow.

dlaczego? (zrodziło mi się pytanie)

[PHP] pobierz, plaintext 
if ( !$log->validateUsr()) {
	echo '<p class="errorMsg">Wprowadź login i hasło!</p>';
	} else if ( !$log->Login()) {
	echo '<p class="errorMsg">Nieprawidłowy login i/lub hasło!</p>';
	} else {
	echo 'Witaj: '.$_SESSION['login_usr'];
	}
[PHP] pobierz, plaintext 

tylko to mi się w oczy rzuciło, ! jest zaprzeczeniem np. !true == false, true != false

fakt, dzięki (IMG:style_emoticons/default/smile.gif)

[nospor]

dlaczego? (zrodziło mi się pytanie)

Bo tak (zrodzial mi sie odpowiedz) (IMG:style_emoticons/default/tongue.gif)

Bo klasa autoryzacja to klasa autoryzacji a nie klasa odpowiedzialna za komunikaty. Za komunikaty odpowiada co innego.
Wezme sobie taka klase od ciebie i nagle jakies komunikaty ni z gruszki ni z pietruszki beda mi sie w systemie pojawiac....

[dopelganger]

Bo tak (zrodzial mi sie odpowiedz) (IMG:style_emoticons/default/tongue.gif)

Bo klasa autoryzacja to klasa autoryzacji a nie klasa odpowiedzialna za komunikaty. Za komunikaty odpowiada co innego.
Wezme sobie taka klase od ciebie i nagle jakies komunikaty ni z gruszki ni z pietruszki beda mi sie w systemie pojawiac....

no tak (IMG:style_emoticons/default/smile.gif)