Logowanie username or email Opcje

[MESSIAH :)]

Jak poprawnie wywołać kod do logowania przy użyciu nazwy użytkownika lub emaila?

[PHP] pobierz, plaintext 
    if ($stmt = $mysqli->prepare("SELECT id, username, password, salt 
				  FROM members 
                                  WHERE email = ? LIMIT 1")) {
[PHP] pobierz, plaintext 

zmieniam na

[PHP] pobierz, plaintext 
    if ($stmt = $mysqli->prepare("SELECT id, username, password, salt 
				  FROM members 
                                  WHERE email = ? OR username = ? LIMIT 1")) {
[PHP] pobierz, plaintext 

Lecz wciąż nie działa przy użyciu username i nie można zalogować po nazwie użytkownika.

[rad11]

Moze wina jest to ze robisz tak:

[PHP] pobierz, plaintext 
if($stmt = $mysqli->prepare("SELECT id, username, password, salt 
				  FROM members 
                                  WHERE email = ? LIMIT 1")){
}
[PHP] pobierz, plaintext 

Zrob tak:

[PHP] pobierz, plaintext 
$stmt = $mysqli->prepare("SELECT id, username, password, salt 
				  FROM members 
                                  WHERE email = ? LIMIT 1");
 
$query = $stmp->execute();
 
if($query > 0){
echo 'Istnieje wiec logujemy';
}
[PHP] pobierz, plaintext 

Ten post edytował rad11 11.01.2015, 21:10:31

[MESSIAH :)]

Jeśli zmienię email na username tutaj:

[PHP] pobierz, plaintext 
 FROM members
    WHERE email = ? LIMIT 1")){
    }
[PHP] pobierz, plaintext 

Wtedy będę mógł się zalogować po nazwie użytkownika więc tutaj muszę dodać jakis parametr który będzie wybierał pomiędzy username lub mail.

[rad11]

to takie zapytanie zrob ja napisalem przykladowo to zapytanie chodzilo mi o to ze execute nie robisz pierw.

[MESSIAH :)]

Nie rozumiemy się chyba. Ja chce przerobić zapytanie do bazy danych tak aby użytkownik podczas logowania mógł podać username lub email aby sie zalogować.

[sazian]

[PHP] pobierz, plaintext 
$stmt = $mysqli->prepare("SELECT id, username, password, salt
FROM members
WHERE email = ? OR username = ? LIMIT 1")
$stmt->bind_param('ss', $login_lub_email, $login_lub_email);
[PHP] pobierz, plaintext 

[zidek]

Pobieranie hasła z bazy jest raczej niepotrzebne, przecież tego hasła i tak nie będziesz do niczego potrzebował.
Przed wykonaniem zapytania powinieneś na poziomie PHP dokonać walidacji maila. Jeśli ma prawidłową formę wysyłasz zapytanie z warunkiem "WHERE email = '{$login}'", a jeśli nie "WHERE username = '{$login}'"

[com]

Pobieranie hasła z bazy jest raczej niepotrzebne, przecież tego hasła i tak nie będziesz do niczego potrzebował.

Przy logowaniu? raczej powinien je sprawdzić czy sie zgadza z tym co podał ?

[Pyton_000]

Tak, ale można to sprawdzić w zapytaniu

[sowiq]

Tak, ale można to sprawdzić w zapytaniu

Oho, ktoś tu nie soli haseł

[phpion]

@Pyton_000: Ale w takim przypadku zamykasz sobie drogę na informację zwrotną dlaczego użytkownik się nie zalogował. Bo wpisał niepoprawne hasło? Bo jego konto jest nieaktywne? Bo ma jakąś inną flagę ustawioną? Ja też wyciągam dane na podstawie loginu, a potem w PHP porównuję pozostałe parametry.

@MESSIAH: Co do pytania to proponuję dynamicznie podmieniać kolumnę na podstawie tego, co przesłał użytkownik. Jeśli jest to prawidłowy adres e-mail (można skorzystać z filter_var z flagą FILTER_VALIDATE_EMAIL) - użyj kolumny email, jeśli nie - username. Nie bawiłbym się w żadne ORy bo to skutecznie uniemożliwi użycie indeksu. W zaproponowanym przeze mnie rozwiązaniu jest 1 minus - przypadek, gdy nazwa użytkownika jest adresem e-mail, a podany adres e-mail jest inny no ale to raczej mało realny przypadek.

[Pyton_000]

Dlaczego? Generuję sobie hash z hasła i sprawdzam czy taki hash istnieje w BD łącznie z adresem email lub userem
czyli

Kod

WHERE pass = 'hash' AND (email = 'email' OR username = 'username);

Nie widzę w tym niczego strasznego.

[Edited] @up tak to prawda, ale nie zawsze potrzebuję takiej informacji. To już zależy od kontekstu gdzie i dlaczego tego używam.
Napisałem tylko że tak tez można

Ten post edytował Pyton_000 12.01.2015, 10:21:49

[phpion]

Nie widzę w tym niczego strasznego.

...poza sekwencyjnym skanowaniem tabeli

[sowiq]

Nie widzę w tym niczego strasznego.

A ja widzę. W ten sposób nie posolisz hasła.

PS. Mam nadzieję, że Twój 'hash' to nie sha1, albo co gorsza - md5.

[phpion]

@sowiq:
Chyba, że sól jest wspólna dla wszystkich użytkowników

[sowiq]

Wspólna sól = brak soli.

[Pyton_000]

@sowiq tak czysto informacyjnie używam Crypt z możliwie najmocniejszym algorytmem dost. na serwerze toteż uważam solenie za zbędne (ew. sól ogólna jak phpion powiedział) i tak, nie jest to ani sha1 ani md5

[sowiq]

Bardzo dobrze, że używasz crypt.

Jeśli chodzi o sól, to trzeba sobie zadać pytanie po co w ogóle jest ona stosowana. Jedną z pierwszych odpowiedzi (przynajmniej moich) jest: żeby dwa takie same hasła miały w bazie różne hashe. Zarówno w przypadku braku soli jak i w przypadku soli wspólnej dla całej bazy, takie same hasła będą miały takie same hashe. W związku z tym, z całą odpowiedzialnością podtrzymuję co napisałem wcześniej: wspólna sól = brak soli.

Ten post edytował sowiq 12.01.2015, 10:55:23

[Pyton_000]

Ten argument do mnie trafia bo jest racjonalny i poprawny politycznie

[com]

Pyton_000 zgadzam się można, ale ten oto programista robił to sposobem opisanym przez phpion, a ja odnosiłem się do tego przypadku, bo uwzględniając podane przez innych argumenty, też wydaje mi się on bardziej sensowny, bo skoro już generujemy funkcje skrótu, to ma być jakieś utrudnienie/zabezpieczenie a jak ma być to zwykły hash , to mając takie możliwości jak mamy teraz, jest on zbliżony w dużej mierze do efektu jakby to było zapisane plaintextem(no może trochę przesadziłem, bo trzeba mieć troche wiedzy), bo wygenerowanie kolizji w takim wypadku jest na pewno prawdopodobne. A sposób zidek nie podawał informacji takiej jak zapropoowałeś co wprowadzało użytkownika w błąd, stąd tez moja uwaga.