Forum PHP.pl > [PHP] logowanie PDO

Pomoc - Szukaj - Użytkownicy - Kalendarz

!*!

31.01.2011, 01:23:42

Jak powinno wyglądać logowanie oparte o PDO?

[PHP] pobierz, plaintext 
 try
 {
  $pdo = new PDO(''.DB_TYPE.':host='.DB_HOST.';dbname='.DB_NAME.'', ''.DB_LOGIN.'', ''.DB_PASS.'', array(PDO::MYSQL_ATTR_INIT_COMMAND => "SET NAMES utf8"));
  $pdo -> setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
  $stmt = $pdo -> prepare('SELECT login, pass FROM users WHERE login=:login AND pass=:password LIMIT 1');
  $stmt -> bindValue(':login', $_POST['login'], PDO::PARAM_STR);
  $stmt -> bindValue(':password', $_POST['password'], PDO::PARAM_STR);
  $stmt -> execute();
 
  $user=$stmt-> fetch();
  $stmt -> closeCursor();
  //print_r($user);
  if(!$user['login'] && !$user['pass'] || $user['login'] != $_POST['login'] && $user['pass'] != $_POST['password']){echo 'nie działa';}else{echo 'login i hasło się zgadzają';}		
 
 }
  catch(PDOException $e)
  {
    echo 'Błąd połączenia: ' . $e->getMessage();
  }
[PHP] pobierz, plaintext

Napisałem coś takiego, jednak niejestem pewien co do sprawdzenia czy login i hasło istnieją, a jeśli tak to czy są takie same jak te podane przez POST... i mam problem z wielkością liter, obecnie jeśli w bazie mam login "admin" i hasło "test", to po wysłaniu danych "Admin", "Test" zostane zalogowany...

Crozin

31.01.2011, 01:29:43

A co ma PDO do algorytmu logowania? Jak nie wiesz jak zrobić logowanie to sobie poszukaj php [nazwa bazy] logowanie użytkowników.

Cytat

i mam problem z wielkością liter, obecnie jeśli w bazie mam login "admin" i hasło "test", to po wysłaniu danych "Admin", "Test" zostane zalogowany...

Pomijając fakt, że jest to raczej pożądane zachowanie... zmień parametr COLLATION w bazie danych z *_ci (case-insensitive) na *_cs (case-sensitive).

ViX

31.01.2011, 01:34:15

Cytat(!*! @ 31.01.2011, 01:23:42 )

[PHP] pobierz, plaintext 
  if(!$user['login'] && !$user['pass'] || $user['login'] != $_POST['login'] && $user['pass'] != $_POST['password']){echo 'nie działa';}else{echo 'login i hasło się zgadzają';}		
 
[PHP] pobierz, plaintext

Po co tak kombinować? Nie prościej wysłać zapytanie do bazy typu

[SQL] pobierz, plaintext 
SELECT * FROM 'users' WHERE login='$login' AND password='$password'
[SQL] pobierz, plaintext

a następnie tylko odczytać wartości

[PHP] pobierz, plaintext 
if($query['id']>0)
{
    echo('Wszystko ok');
}
else
{
    echo('Nie ma usera lub błędne hasło');
}
[PHP] pobierz, plaintext

Cytat(Crozin @ 31.01.2011, 01:29:43 )

Pomijając fakt, że jest to raczej pożądane zachowanie...

Rozumiem kwestię loginu, ale osobiście nie cieszyłby mnie fakt, gdyby można było zalogować się na moje konto z hasłem "super tajne hasło", gdy specjalnie utrudniłem je do "SupeR TajNe HASŁO"...

kiler129

31.01.2011, 04:17:58

...dodajmy też, że haseł NIE TRZYMA SIĘ PLAINTEXTEM! Conajmniej md5 a najlepiej crypt z solą.

Fifi209

31.01.2011, 08:07:23

kiler a nie przypadkiem funkcja hashująca + sól ?;]

darko

31.01.2011, 10:23:27

Cytat(Crozin @ 31.01.2011, 01:29:43 )

(...) zmień parametr COLLATION w bazie danych z *_ci (case-insensitive) na *_cs (case-sensitive).

Pomógł (klik) Dzięki Crozin, nie wiedziałem tego. W temacie, ja robię tak, że wyciągam z bazy tylko id użytkownika i jeśli ta wartość jest liczbą to znaczy, że znaleziono użytkownika w bazie o podanym loginie i haszu hasła. Hasła oczywiście są przechowywane w postaci haszy z solą tworzoną na podstawie id użytkownika, daty rejestracji w systemie i jeszcze kilku stałych wartości.

ViX

1.02.2011, 02:43:24

Cytat(fifi209 @ 31.01.2011, 08:07:23 )

kiler a nie przypadkiem funkcja hashująca + sól ?;]

Osobiście stosuję podwójne hashowanie z soleniem, na jednym z kursów polecali takie rozwiązanie więc używam go po dziś dzień.

[PHP] pobierz, plaintext 
$hash = md5('i_like_salt'.sha256($password.$register_time).'very_long_salt');
[PHP] pobierz, plaintext

To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.