[php] bezpieczeństwo w logowaniu, pierwszy skrypt na klasach :) Opcje

[matix]

Witam
Stworzyłem sobie taki obiektowy autoryzator, pierwszy raz na klasach i obiektach:)

[PHP] pobierz, plaintext 
<?
final class auth {
  private $id;
  private $login;
  private $pass;
  private $passnormal;
  private $userlink;
  var $userarray;
 
	function __construct($login, $pass) {
	$this -> login = $login;
	$this -> pass = md5($pass);
	$this -> passnormal = $pass;
	}
 
	public function checkuser() {
	$this->userlink = 'users/'.$this->login.'.php';
	 if(is_file($this->userlink)) {
		 
		include ($this->userlink);
		if ($pass == $this -> pass) {
			// if datas are true = register to private vars profil of user
			$this->login = $login;
			$this->pass = $pass;
			$this->id = $id;
 
			// profil loading...
			$this->viewprofil();
		return true;
		}else{
		return false;
		}
 
	 }else{
		return false;
	 }
	 
	}
 
 
	function viewprofil() {
		$this->userarray = array (
		'id' => $this->id,
		'login' => $this->login,
		'pass' => $this->pass,
		'passnormal' => $this->passnormal,
		'user_link' => $this->userlink
		);
	}
}
 
$auth = new auth('yourlogin', 'yourpassword');
if ($auth->checkuser() === TRUE) {
 
print '
mały test:<br/>
id: '.$auth->userarray['id'].'<br/>
login: '.$auth->userarray['login'].'<br/>
haslo: '.$auth->userarray['passnormal'].'<br/>
user_link: '.$auth->userarray['user_link'].'
';
 
}
?>
[PHP] pobierz, plaintext 

Skrypt ma za zadanie sprawdzić czy login i hasło jest poprawne, jeśli tak - wyświetla resztę danych użytkownika w postaci Array(), które można użyć.

Wszystko super działa, tylko pytanie, czy ten skrypt jest bezpieczny ? Można go w jakiś sposób obejść na pierwszy rzut oka ? Jeśli tak, to poproszę o nakierowanie mnie na poprawę tego.

Jednocześnie proszę, nie tyle co ocenienie tego skryptu, bo z pewnością da sie go lepiej napisać, ale przynajmniej stwierdzenie czy taki skrypt jest nazywany obiektowym ?

Pozdrawiam i życzę miłego dnia, Matix

[yaotzin]

klasa opisuje obiekt (w prostym ujęciu), ja sobie tłumaczę tak klasę jest ona zbiorem funkcji służących danemu celowi, tzn powiedzmy że robimy klasę lampa więc w środku zawieramy pełny zestaw funkcji o nazwach żarówka, abażur, włącznik itp. opisaliśmy obiekt (jest to zagmatwane ). podobnie jest z klasami w programowaniu obiektowym klasa powinna zawierać opis funkcji służących danemu celowi, dzięki temu można też zminimalizować potrzebę przepisywania funkcji z jednej klasy do innej bo wystarczy napisać klasę funkcji wspólnych i je dziedziczyć i stosować różne inne techniki. W oparciu o klasy można zminimalizować w dużym stopniu nakład późniejszej pracy, bo powiedzmy że tworzysz sobie zestaw klas służący tworzeniu sklepu internetowego i później lecisz z tego składając odpowiednie komponenty, warto też zauważyć że funkcje w klasach powinne być odpowiednio uniwersalne tzn. powinne przyjmować głównie argumenty przez parametr funkcji a nie poprzez metody post itp. o klasach można by pisać wiele o ich przydatności jeszcze więcej. Ale aby zoptymalizować czas pisania aplikacji na klasach wymagana jest też do tego odpowiednia aplikacja która wspomagała by korzystanie z klas a z tego co wiem do PHP jest tylko zend studio który to potrafi no i PHPEclipse.

A twój skrypt ? czy jest bezpieczny ? no cóż nie mnie to oceniać, ale w miarę możliwości w klasie nic nie wyświetlaj to co masz wyświetlić zwracaj na zewnątrz, chociaż z drugiej strony w PHP może to się sprawdzać :]

[fridek]

Hmm, skrypt w sumie jest bezpieczny, tylko brakuje w nim trzymania danych w zmiennych sesji albo ciasteczkach. Wiesz, żeby uniknąć ponownego logowania.

Co do obiektowości, ładnie byłoby zrobić funkcję getUserData() która wywołuje checkuser i zwraca dane użytkownika albo false jeśli niezalogowany.

Mógłbyś też popracować nad wyrzucaniem wyjątków, ale to już kosmetyka.

Ten post edytował fridek 4.05.2007, 10:59:54