Hej,

Mam skrypt logowania, który gdzieś w necie znalazłem, jednak nie był w 100% kompletny to kombinowałem jak uruchomić. W końcu się udało...
Skrypt też odczytuje z bazy danych rangę usera (1-admin, 2-user).

Chciałem znaleźć skrypt który byłby 'o tyle o ile' jakoś zabezpieczony przed kosmitami i tak się zastanawiam czy dobrze kombinuję jak wyświetlić zawartość po zalogowaniu:


Formularz standardowy:

[HTML] pobierz, plaintext 
<form action="zaloguj.php" method="post">
    <label for="login">Login: </label><input type="text" name="login"/>
    <label for="password">Hasło: </label><input type="text" name="password"/>
    <input type="submit" value="zaloguj"/>
</form>
[HTML] pobierz, plaintext 

No i php...

[PHP] pobierz, plaintext 
<?php
interface storage {
    public function login($name, $pass);//1
}
class mysqlStorage implements storage{//2
    public function login($name, $pass){//3
        global $pdo;
        $pdo=new PDO('mysql:host=localhost;dbname=test', 'root', '');
        $stmt=$pdo->prepare('SELECT name, ranga FROM `users` WHERE name=:name AND password=:password');
        $stmt->bindValue(':name', $name);
        $stmt->bindValue(':password', md5($pass));
        $stmt->execute();
        $user=$stmt->fetch();
        if($user){
            return $user;
        }
        return false;
    }// login();
}//mysqlStorage
class user{//4
    public $name;
    public $rank;
 
    private $storage;
    public function __construct($storage){
         $this->storage=$storage;
         }
    public function zaloguj(){
         if($_SERVER['REQUEST_METHOD']=='POST'){
             $user=$this->storage->login($_POST['login'], $_POST['password']); 
             if(!$user)die('Nieprawidłowa nazwa użytkownika lub hasło!');
             $this->name=$user['name'];
             $this->rank=$user['ranga'];
             $_SESSION['zalogowany']=true;
             $_SESSION['name']=$this->name;
             $_SESSION['rank']=$this->rank;
             }
         }
    }
    $user=new user(new mysqlStorage);
    $user->zaloguj()
?> 
 
<?php 
 
if ($_SESSION['rank'] == 1)
	{ echo "Admin"; }
	elseif ($_SESSION['rank'] == 2)
		{ echo "User"; }
			else 
				{ echo "What exactly you're trying to do?"; }
?>
[PHP] pobierz, plaintext 

[PHP] pobierz, plaintext 
$stmt->bindValue(':name', $name);
$stmt->bindValue(':password', md5($pass));
[PHP] pobierz, plaintext 

Skoro już używasz bindowania, to musisz dodać trzeci parametr, który określi rodzaj danych.
Po tym zabiegu skrypt będzie bezpieczny.
http://php.net/manual/en/pdo.constants.php - Tu znajdziesz stałe, których używasz do ustawienia typu danych.

Like this?

[PHP] pobierz, plaintext 
        $stmt->bindValue(':name', $name, PDO::PARAM_STR);
        $stmt->bindValue(':password', md5($pass), PDO::PARAM_STR);
[PHP] pobierz, plaintext 

Dokładnie tak
Najprościej sprawdź czy działa ;>

Działa

Generalnie to w sumie też chciałem zapytać czy taki sposób wyświetlania danych jest właściwy

[PHP] pobierz, plaintext 
<?php 
 
if ($_SESSION['rank'] == 1)
	{ echo "Admin"; }
	elseif ($_SESSION['rank'] == 2)
		{ echo "User"; }
			else 
				{ echo "What exactly you're trying to do?"; }
?>
[PHP] pobierz, plaintext 

Poleganie na sesjach to trochę kiepski pomysł, już lepiej zapisać gdzieś jakieś dane (w miarę bezpiecznie lub jak najmniejszą ich ilość) w Cookies, a potem za każdym razem je pobierać. Sesje są zdradliwe.

I nie za bardzo rozumiem dlaczego robisz takie dziwaczne wcięcia.

A niby czemu sesje mają być gorsze od ciastek?

Bardzo ciekawe rozumowanie, moim zdaniem kilkanaście razy prościej wykraść cookie niż przejąć sesję.

Chciałbym, abyś poparł swój post jakimiś kilkoma konkretnymi argumentami z przykładami.

Przecież przejęcie sesji w najlepszym wypadku sprowadza się do kradzieży ciastka, a Ty chcesz tylko ciastek używać...

Zostawmy dyskusje ciastka vs sesje na inny temat ;)


Tzn tabulatory w kodzie? Tak mi wygodnie i dla mnie jest to przejrzyste :)