Forum PHP.pl > obiektowy system autoryzacji

Pomoc - Szukaj - Użytkownicy - Kalendarz

Pełna wersja: obiektowy system autoryzacji

michat34

31.10.2012, 10:10:33

ucze sie oop, ale najlepiej sie chyba zawsze uczy na przykldach wiec postanowilem napisac w oop system autoryzacji, zapewne jest tu masa bledow i niedocogniec, wiec prosze bardziej zaawanwoanych uzytkownikow o wskazowki co poprawic:

[PHP] pobierz, plaintext 
<meta http-equiv="Content-Type" content="text/html;charset=utf-8">
 
<?php
 class DB
 {
 protected function connectdb ()
  {
   try
   {
    $pdo = new PDO('mysql:host=localhost;dbname=michat34', 'michat34', 'mud305000');
   }
   catch(PDOException $e)
   {
    die('Nie udało się połączyć z bazą danych. Spróbuj ponownie później: '.$e->getMessage());
   }
  }
 }
 
 class User extends DB
 {
 private $login;
 private $password;
 private $email;
 
 public function __construct ($login,$password,$email)
  {
   $this->connectdb();
   $this->login = $login;
   $this->password = $password;
   $this->email = $email;
  } // end __construct();
 
 static public function filtr ($item)
 {
 return (strip_tags(trim($item)));
 } // end filtr();
 
 public function getValue ($value)
 {
 return $this->$value;
 } // end getValue();
 
 public function check_login ()
  {
  if (!preg_match('/^[A-Za-z0-9]{3,20}$/',$this->login)) return false;
  return true;
  } // end check_login();
 
 public function check_login2 ()
  {
  echo "LOGINL $this->login";
  $stmt=$pdo->query("SELECT id FROM users WHERE login='$this->login'");
  $res=$stmt->rowCount();
  $stmt->closeCursor();
  if ($res > 0) return false;
  return true;
  } // end check_login2();
 
 public function check_password ()
  {
  if (((strlen($this->password)) < 6) || ((strlen($this->password)) > 40)) return false;
  return true;
  } // end check_password();
 
 public function check_email ()
  {
  if (!preg_match('/^[A-Za-z0-9\.\-\_]+\@[a-z0-9]+\.[a-z]+$/',$this->email)) return false;
  return true;
  } // end check_email();
 
 public function check_email2 ()
  {
  $stmt=$pdo->query("SELECT id FROM users WHERE email='$this->email'");
  $res=$stmt->rowCount();
  $stmt->closeCursor();
  if ($res > 0) return false;
  return true;
  } // end check_email2();
 }
 
 // po kliknieciu przycisku rejestracji
 if (isset($_POST['reg']))
 {
 $login = $_POST['login'];
 $password = $_POST['password'];
 $email = $_POST['email'];
 
 $login = User::filtr($login);
 $password = User::filtr($password);
 $email = User::filtr($email);
 
 $user = new User($login,$password,$email);
 if (($user->check_login()) && ($user->check_login2()) && ($user->check_password()) && ($user->check_email()) && ($user->check_email2()))
  {
  $stmt=$pdo->prepare('INSERT INTO users (login,password,email,ip) VALUES (:login,:password,:email,:ip)');
  $stmt->bindValue(':login',$user->getValue($login),PDO::PARAM_STR);
  $stmt->bindValue(':password',$user->getValue($password),PDO::PARAM_STR);
  $stmt->bindValue(':email',$user->getValue($email),PDO::PARAM_STR);
  $stmt->bindValue(':ip',$_SERVER['REMOTE_ADDR'],PDO::PARAM_STR);
  $num=$stmt->execute();
  } else
  {
  echo '<p>Nieprawidlowe dane:</p>';
  echo '<ul>';
  if (($user->check_login()) == false) echo '<li>Zły login</li>';
  if (($user->check_login2()) == false) echo '<li>Zajęty login</li>';
  if (($user->check_password()) == false) echo '<li>Złe hasło</li>';
  if (($user->check_email()) == false) echo '<li>Zły e-mail</li>';
  if (($user->check_emai2()) == false) echo '<li>Zajęty e-mail</li>';
  echo '</ul>';
  }
 }
?>
 
<form action="index.php" method="post">
<table>
<tr><td>Login:</td><td><input type="text" name="login" id="login"></td></tr>
<tr><td>Hasło:</td><td><input type="password" name="password" id="password"></td></tr>
<tr><td>E-mail:</td><td><input type="text" name="email" id="email"></td></tr>
</table>
<input type="submit" name="reg" value="Rejestracja">
</form>
[PHP] pobierz, plaintext

redeemer

31.10.2012, 10:45:45

Dałeś przykład, jak korzystając z PDO zostawić niespodzianke w postacji SQL Injection (check_login2, check_email2). Działa to w ogóle? Po szybkim zerknięciu nie wydaje mi się: $stmt->bindValue(':login',$user->getValue($login),PDO::PARAM_STR);

Zielonkawy18

31.10.2012, 16:01:50

Zawsze wydawało mi się, że konstruktor powinien mieć taką samą nazwę jak nazwa klasy:

[PHP] pobierz, plaintext 
class User
{
User();
}
[PHP] pobierz, plaintext

Ogólnie fajnie, że obiektowo to napisałeś. Mnie się podoba. I sam chętnie poczytam sugestie.

Cytat(redeemer @ 31.10.2012, 10:45:45 )

Dałeś przykład, jak korzystając z PDO zostawić niespodzianke w postacji SQL Injection (check_login2, check_email2).

Możesz sprecyzować? Chętnie to wezme do siebie bo wiele jest w internecie o SQL Injection, ale o ochronie już niezbyt.

usb2.0

31.10.2012, 16:08:20

a mi się wydawało że konstruktor nie powinien mieć nazwy jak nazwa klasy
czytaj w php4 moze i tak, nie wiem kolego z czego się uczyłeś

Zielonkawy18

31.10.2012, 16:27:19

Odniosłem się do języków desktopowych np. C#.

tab

1.11.2012, 00:08:25

Cytat(Zielonkawy18 @ 31.10.2012, 16:01:50 )

Zawsze wydawało mi się, że konstruktor powinien mieć taką samą nazwę jak nazwa klasy:

w php 4 tak było

w obecnych wersjach uzywa sie __construct() mimo ze nadal skrypt przyjmuje nazwe taka jak klasa. ale ma to zostac usuniete w php 6, wiec nalezy korzystac tylko z __construct()

Damonsson

1.11.2012, 21:17:59

Korzystając z MySQL podawanie parametrów PDO::PARAM_STR czy też PDO::PARAM_INT - nie ma żadnego sensu.

michat34

1.11.2012, 22:25:53

@up moglbys rozwinac?

Damonsson

1.11.2012, 23:34:57

Polecam ten temat, masz super wyjaśnione:

http://stackoverflow.com/questions/833510/...ow-does-it-work

Generalnie chodzi o to, że w MySQL sam definiujesz typ danych danej kolumny, na poziomie projektowania bazy. I te wartości z param nie są brane pod uwagę, jedynie jeśli określisz parametr BOOL a podasz do bazy INT to jest konwertowane bodajże, do BOOL.

Ale dokładnie masz wszystko tam opisane.

To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.