Klasa do autoryzacji użytkowników, prośba o opinię poprawności kodu "zaawansowanego programisty" Opcje

[Jarod]

Moje pytanie skierowane jest głównie do osób, które czytały książkę "PHP5 zaawansowane programowanie",
ponieważ problem dotyczy przykładu tam przedstawionego. W rozdziale 15 autor przedstawił klasę do obsługi
własnych sesji a w rozdziale 22 wdraża ją do użytku.

Na stronie 457 przedstawiony jest sposób logowania, który moim zdaniem jest całkowicie bez sensu. Przytoczę tutaj
główny kod:

[PHP] pobierz, plaintext 
<?php
(..)
(..)
(..)
 
$session = new WidgetSession (array ('phptype' => "pgsql",
									 'hostspec' => "localhost",
									 'database' => "artykulandia",
									 'username' => "wuser",
									 'password' => "foobar"));
 
$session->Impress();
(...)
 
if ($_REQUEST["action" == "login") {
   $session->login($_REQUEST["login_name"].$_REQUEST["login_pass"]);
   if ($session->isLoggedIn()) {
	 $smarty->assign_by_ref("user",$session->getUserObject());
	 $smarty_>display("main.tpl");
	 exit;
   }
   else {
	 $smarty->assign('error', "Nieudane logowanie...");
	 $smarty_>display("login.tpl");
	 exit;
   }
} else {
  if ($session->isLoggedIn() == true) {
	 $smarty->assign_by_ref("user",$session->getUserObject());
	 $smarty_>display("main.tpl");
	 exit;
  } 
}
?>
[PHP] pobierz, plaintext 

Mniej więcej tak to wygląda. Nie będę podawał kodu klasy bo za dużo pisania. Zresztą nie chodzi mi o sposób
napisania klasy. Wywoływany jest skrypt index.php, który sprawdza czy przesłano parametr action=login.
Jeżeli tak to znaczy, że dokonano próby logowania (wypełniono formularz i go wysłano), metoda sprawdza dane
w bazie - jeżeli się zgadzają ustawia właściwość prywatną klasy logged_in na true. Następnie metoda isLoggedIn()
sprawdza czy wartość właściwości logged_in ma wartość true - jeśli tak uznaje, że użytkownik się zalogował
i ma dostęp do super tajnych danych

Wszyscy wiemy, że protokół HTTP jest bezstanowy. Więc możemy sobie w jednym skrypcie utworzyć 100 obiektów,
ale jak przejdziemy do drugiego skrytpu (czyli zacznie być wykonywany inny skrypt) to te nasze 100 obiektów
poszło się jeb**.

Wiecie do czego zmierzam? Do tego, że stosując metodę autora po oddaniu sterownia do drugiego skryptu będziemy
musieli utworzyć od nowa obiekt, który będzie miał właściwość logged_in=false (bezstanowość protokołu - zgubiliśmy
dane, że użytkownik jest zalogowany) co wymusza przekierowanie na stronę logowania..

Nie odpalałem całego kodu bo nie chce mi się klepać z książki.. Ale uważam, że jeśli dodamy sprawdzanie
w każdym skrypcie czy użytkownik jest zalogowany to ten sposób nie zadziała. A trzeba sprawdzać czy użytkownik
jest zalogowany, że sprytny user zamiast wpisać www.testowa.pl nie wpisał www.testowa.pl/tajnedane.php i w ten
sposób pominął ekran logowania.


Co o tym myślicie? Bo ja czasem czytająć tą książke miałem wrażenie, że autorzy nie wiedzą co piszą albo piszą kod od niechcenia.

[dr_bonzo]

A reszta kodu?
Przeciez
$session->login(...)
probuje zalogowac usera i zapewne zapisuje w sesji ($_SESSION) wartosc wskazujaca czy user jest zalogowany. I przy wyswietlaniu nastepnej strony, sesja jest inicjowana i ta wartosc jest zachowana i nadal wskazuje czy user jest zalogowany.


Przenosze na php

[Jarod]

A reszta kodu?

Nie chce mi się stukać wszystkiego. Dlatego podałem strony w książce.

Przeciez
$session->login(...)
probuje zalogowac usera i zapewne zapisuje w sesji ($_SESSION) wartosc wskazujaca czy user jest zalogowany.

Zapisuje sesje w bazie danych.

I przy wyswietlaniu nastepnej strony, sesja jest inicjowana i ta wartosc jest zachowana i nadal wskazuje czy user jest zalogowany.

Na następnej stronie autor powiela kod:

[PHP] pobierz, plaintext 
<?php
$session = new WidgetSession (array ('phptype' => "pgsql",
									 'hostspec' => "localhost",
									 'database' => "artykulandia",
									 'username' => "wuser",
									 'password' => "foobar"));
 
$session->Impress();
?>
[PHP] pobierz, plaintext 

A metoda Impress() wygląda tak:

[PHP] pobierz, plaintext 
<?php
public function Impress() {
  if ($this->native_session_id) {
	result = pgquery("UPDATE "sesja_uzytkownika" SET ostatnia_reakcja = now() WHERE id=" .$this->native_session_id);
  }
}
?>
[PHP] pobierz, plaintext 

I tyle poczynił, żeby sprawdzić sesje, tylko próbuje ją aktualizować. A skoro w nowym skrypcie utworzył nowy obiekt "WidgetSession" to normalne jest że native_session_id będzie miała wartość false, więć metoda Impress() nie zostanie wykonana.

Nie ma weryfikacji użytkownika, tylko update sesjii w bazie..

[dr_bonzo]

A czy w konstruktorze $native_session_id nie jest jakos inicjowane?
Bez reszty kodu trudno mi powiedziec co sie tam dzieje.

[Jarod]

A czy w konstruktorze $native_session_id nie jest jakos inicjowane?

No właśnie nie.

Bez reszty kodu trudno mi powiedziec co sie tam dzieje.

Tu wklejam kod klasu UserSession. Na tym kodzie opiera się WidgetSession

[PHP] pobierz, plaintext 
<?php
  class UserSession {
	private $php_session_id;
	private $native_session_id;
	private $dbhandle;
	private $logged_in;
	private $user_id;
	private $session_timeout = 600;	  # 10 minutowy maksymalny czas nieaktywności sesji
	private $session_lifespan = 3600;	# 1 godzinny maksymalny czas trwania sesji.
 
	public function __construct() {
	  # Łączy z bazą danych
	  $this->dbhandle = pg_connect("host=db dbname=prophp5 user=edek")  or die ("Błąd PostgreSQL: --> " . pg_last_error($this->dbhandle));
	  # Inicjalizuje mechanizm obsługi sesji
	  session_set_save_handler(
		  array(&$this, '_session_open_method'), 
		  array(&$this, '_session_close_method'), 
		  array(&$this, '_session_read_method'), 
		  array(&$this, '_session_write_method'), 
		  array(&$this, '_session_destroy_method'), 
		  array(&$this, '_session_gc_method')
	  );
	  # Sprawdza przesłane cookie o ile je przesłano; jeżeli wygląda podejrzanie zosta
ja z miejsca anulowane	 
	  $strUserAgent = $GLOBALS["HTTP_USER_AGENT"];
	  if ($_COOKIE["PHPSESSID"]) {
	   # Kontrola bezpieczeństwa i ważności
	   $this->php_session_id = $_COOKIE["PHPSESSID"];
	   $stmt = "SELECT id FROM "sesja_uzytkownika" WHERE identyfikator_sesji_ascii = '" . $this->php_session_id . "' AND ((now() - utworzono) < ' " . $this->session_lifespan . " seconds') AND user_agent='" . $strUserAgent . "' AND ((now() - ostatnia_reakcja) <= '".$this->session_timeout." seconds' OR ostatnia_reakcja IS NULL)";
	   $result = pg_query($stmt);
	   if (pg_num_rows($result)==0) {
		 # Ustawia znacznik niepowodzenia
		  $failed = 1;
		 # Usuwa z bazy danych - w tym samym czasie usuwane są przeterminowane sesje
		 $result = pg_query("DELETE FROM "sesja_uzytkownika" WHERE (identyfikator_sesji_ascii = '". $this->php_session_id . "') OR (now() - utworzono) > $maxlifetime)");
		 # Usuwa nieprzydatne zmienne sesji
		 $result = pg_query("DELETE FROM "zmienna_sesji" WHERE identyfikator_sesji NOT IN (SELECT id FROM "sesja_użytkownika")");
		 # Pozbywa się identyfikatora, wymuszając na php nadanie nowego
		 unset($_COOKIE["PHPSESSID"]);
	   };  
	  };
	  # Ustawia czas życia cookie
	  session_set_cookie_params($this->session_lifespan);
	  # Wywołuje metodę session_start by zainicjować sesję
	  session_start();
	}
 
	public function Impress() {
	  if ($this->native_session_id) {
		$result = pg_query("UPDATE "sesja_uzytkownika" SET ostatnia_reakcja = now() WHERE id = " . $this->native_session_id);
	  };
	}
 
	public function IsLoggedIn() {
	  return($this->logged_in);
	}
 
	public function GetUserID() {
	  if ($this->logged_in) {
		return($this->user_id);
	  } else {
		return(false);
	  };
	}
 
	public function GetUserObject() {
	  if ($this->logged_in) {
		if (class_exists("user")) {
		  $objUser = new User($this->user_id);
		  return($objUser);
		} else {
		  return(false);
		};
	  };
	}
 
	public function GetSessionIdentifier() {
	  return($this->php_session_id);
	}
 
	public function Login($strUsername, $strPlainPassword) {
	   $strMD5Password = md5($strPlainPassword);
	   $stmt = "SELECT id FROM "uzytkownik" WHERE nazwa_uzytkownika = '$strUsername' AND md5_haslo = '$strMD5Password'";
	   $result = pg_query($stmt);
	   if (pg_num_rows($result)>0) {
		  $row = pg_fetch_array($result);
		  $this->user_id = $row["id"];
		  $this->logged_in = true;
		  $result = pg_query("UPDATE "sesja_uzytkownika" SET zalogowany = true, identyfikator_uzytkownika = " . $this->user_id . " WHERE id = " . $this->native_session_id);
		  return(true);
	   } else {
		  return(false);
	   };
	}
 
	public function LogOut() {
	   if ($this->logged_in == true) {
		  $result = pg_query("UPDATE "sesja_uzytkownika" SET zalogowany = false, identyfikator_uzytkownika = 0 WHERE id = " . $this->native_session_id);
		  $this->logged_in = false;
		  $this->user_id = 0;
		  return(true);
	   } else {
		  return(false);
	   };
	}
 
	public function __get($nm) {
	   $result = pg_query("SELECT wartosc_zmiennej FROM zmienna_sesji WHERE identyfikator_sesji = " . $this->native_session_id . " AND nazwa_zmiennej = '" . $nm . "'");
	   if (pg_num_rows($result)>0) {
		  $row = pg_fetch_array($result);
		  return(unserialize($row["wartosc_zmiennej"]));
	   } else {
		  return(false);
	   };
	}
 
 
	public function __set($nm, $val) {
	   $strSer = serialize($val);
	   $stmt = "INSERT INTO zmienna_sesji(identyfikator_sesji, nazwa_zmiennej, wartosc_zmiennej) VALUES(" . $this->native_session_id . ", '$nm', '$strSer')";
	   $result = pg_query($stmt);
	}
 
 
	private function _session_open_method($save_path, $session_name) {
	  # Do nothing
	  return(true);
	}
 
	private function _session_close_method() {
	  pg_close($this->dbhandle);
	  return(true);
	}
 
	private function _session_read_method($id) {
	   # Służy do ustalenia, czy nasza sesja w ogóle istnieje
	   $strUserAgent = $GLOBALS["HTTP_USER_AGENT"];
	   $this->php_session_id = $id;
	   # Na razie ustawia znacznik niepowodzenie na 1
	   $failed = 1;
	   # Sprawdza czy sesja istnieje w bazie danych
	   $result = pg_query("SELECT id, zalogowany, identyfikator_uzytkownika FROM "sesja_uzytkownika" WHERE identyfikator_sesji_ascii = '$id'");
	   if (pg_num_rows($result)>0) {
		  $row = pg_fetch_array($result);
		  $this->native_session_id = $row["id"];
		  if ($row["zalogowany"]=="t") {
			 $this->logged_in = true;
			 $this->user_id = $row["identyfikator_uzytkownika"];
		  } else {
			 $this->logged_in = false;
		  };
	   } else {
		  $this->logged_in = false;
		  # Konieczne jest stworzenie wpisu w bazie danych
		  $result = pg_query("INSERT INTO sesja_uzytkownika(identyfikator_sesji_ascii, zalogowany, identyfikator_uzytkownika, utworzono
, user_agent) VALUES ('$id','f',0,now(),'$strUserAgent')");
		  # Teraz pobiera prawdziwy identyfikator
		  $result = pg_query("SELECT id from "sesja_uzytkownika" WHERE identyfikator_sesji_ascii = '$id'");
		  $row = pg_fetch_array($result);
		  $this->native_session_id = $row["id"];
	   };
	   # Zwraca jedynie ciąg pusty
	   return("");
	}
 
	private function _session_write_method($id, $sess_data) {
	   return(true);
	}
 
	private function _session_destroy_method($id) {
	   $result = pg_query("DELETE FROM "sesja_uzytkownika" WHERE identyfikator_sesji_ascii = '$id'");
	   return($result);
	}
 
 
	private function _session_gc_method($maxlifetime) {
	  return(true);
	}
 
 
  }
?>
[PHP] pobierz, plaintext 

[Turgon]

Otóż tutaj klasa pobiera native_session_id z bazy jako id porządkowe normalne, a nie id sesji. Po za tym ta klasa to już po prostu UserSession.
Nigdy tej klasy nie używałem, tylko na jej podstawie zbudowałem to co chciałem tzn. SessionHandler dla mojego Frameworka...

[dr_bonzo]

OT:
Ale nakombinowali, masa zapytan do bazy po kazda zmienna sesyjna. Po co to ustawianie ciastek? Po kiego grzyba jest $failed
Ehh

W konstruktorze masz session_start() potem jest odczytywana sesja za pomoca _session_read_method($id) i tutaj jest ustawiane $native_session_id

[Jarod]

Dlatego napisałem, że czasem odnosze wrażenie, że goście nie wiedzą co piszą..

Chłopaki pytanie do Was. Czy możecie udostępnić swojego frameworka? Chcę sobie zbudować coś swojego, czyli klasy, które w każdym projekcie powtarzają mi się a nie mam za bardzo na czym się wzorować. Nie chcę też przeglądać jakiś dużych projektów bo gubie się w ilości kodu.. Zależy mi tylko na oglądnięciu..

[dr_bonzo]

Pouzywaj jakichs gotowych frameworkow: Zenda, Symfony, Cake czy inne. Po co od razu wzorowac sie (powstanie kolejny ZF-clone ) i przepisywac, uzywaj gotowcow dopoki ci odpowiadaja/dzialaja.

[Turgon]

J4r0d: Muszę powiedzieć, że tłumacze są beznadziejni. Piszą takie bzdury. Źle tłumaczą etc. W orginalne podobno lepsza.
dr_bonzo: No tak wygodniej gotowce jednak niektórzy jak ja muszą swoje cuś napisać, ja tylko to piszę ze względu na to, że Zend nie jest gotowy.

[Jarod]

Pouzywaj jakichs gotowych frameworkow: Zenda, Symfony, Cake czy inne. Po co od razu wzorowac sie (powstanie kolejny ZF-clone ) i przepisywac, uzywaj gotowcow dopoki ci odpowiadaja/dzialaja.

Bo wiem, że to co sam napisze będzie moją zasługą i osiągne to co będę chciał.

J4r0d: Muszę powiedzieć, że tłumacze są beznadziejni. Piszą takie bzdury. Źle tłumaczą etc. W orginalne podobno lepsza.

Niestety jak ostatnio wszystkie książki helionu. Następna będzie z mikom..
Ta książka jest dobra jak się każdy rozdział przeczyta kilka razy - tak zrobiłem. Łapiesz o co chodzi tylko jak ją skończysz to nie wiesz jak to zastosować w praktyce. Pozatym czytając ją mógłbym wskazać, które rozdziały pisane lub łumaczone były przez innego autora/tłumacza. Sposób przekazywania myśli i wiedzy jest inny. Może to źle a może lepiej, że nie cała jest zjeb***

Ten post edytował J4r0d 8.10.2006, 15:58:58

[thornag]

Bardzo dobry artykul autorstwa Zyxa znajduje sie tutaj. Zdecydowanie lepszy sposob zaimplementowania obslugi sesji uzytkownika. Do tego jak zwykle dodam, ze lepiej owa ksiazke czym predzej odstaw na polke i zapomnij ze ja miales. Przyklady przedstawione tam sa bezsensu, zawieraja mase bledow dla przykladu. Ksiazka ma tytul PHP5 Zaawansowane progrmowanie, a autorzy robia np tak

[PHP] pobierz, plaintext 
<?php
$fh = fopen(); fwrite(); fclose()
?>
[PHP] pobierz, plaintext 

Moze o file_put_contents nie slyszeli. Ja po leturze tej ksiazki dowiedzialem sie jak pisac kod arcvhaiczny i malo optymalny. Polecam "Obiekty, wzorce, narzedzia" o wiele lepsza pozycja.

Wracajac jednak do tematu. Zastanow sie czy w swojej aplikacji oprocz logowania, bedziesz uzywal sesji do przenoszenia jakis waznych danych. Jesli nie po co Ci osobny session handler ? To raz, dwa jak dla mnie mieszanie autoryzacji uzytkownika z handlerem sesji jest bezsensu, lepiej stworzyc dwie osobne klasy ktore moga zyc rozlacznie. Jesli natomiast bardzo chcesz pisac cos swojego, przeczytaj tutoriale usiadz i zrob, pozniej poulepszaj i bedzie good, nie ma sensu przepisywac przykladow uczacych zlych nawykow.

[Jarod]

W konstruktorze masz session_start() potem jest odczytywana sesja za pomoca _session_read_method($id) i tutaj jest ustawiane $native_session_id

Możesz wskazać miejse, w którym odczytywana jest sesja za pomocą _session_read_method($id) ? Bo ja tego nie widze..

[Turgon]

Dobra tak to wyjaśnie. Thornag w kod ingerowali tłumacze...
Co skończyło się źle.
Ta książka mnie nauczyła więcej niż masa stron.
Ten art Zyxa, to kolejna zła praktyka. SH dostarcza tylko obsługę sesji !
A nogdy co z tym użytkownikiem. Czy to on etc.

[thornag]

@Turgon, nie twierdze ze nie nauczyla ale przy okazji niezle namieszla, bede juz jej zagorzlym przeciwnikiem i kropka oczywiscie zdaje sobie sprawe ze nie altorzy tylko tlumacze, ale i w kodzie udalo mi sie kilka bledow wychwycic ;P

Co do artu Zyxa nie uwazam zeby bylo to zla praktyka, jak dla mnie SessionHandler i nazijmy to UserHandler powinny byc dwoma oddzielnymi komponentami, niech SH handluje sesje a UH korzysta z SH, nie potrzeben mi wtedy w SH metody do sprawdzania zalogowania uzytkownika czy tez logowania go.

Chyba sie troche zagalopowalismy i zeszlismy z tematu,

edit: ehh przetarlem oczeta. w KOD ingerowali tlumacze ? Ze zapytam kiego grzyba ?

Ten post edytował thornag 11.10.2006, 15:36:12

[Turgon]

Thornag właśnie nie wiem.... Chyba, że po polsku było.