Witam.
Jestem nowy w temacie frameworków, YII jest pierwszym, którego się uczę więc jestem jeszcze lekko zagubiony. Przestudiowałem książke Helionu o YII (nie zachwyciła mnie szczerze mówiąc) ale nadala wielu rzeczy nie rozumiem. Moje pytanie dotyczy bezpieczeństwa takiego skryptu logowania:

Model:

[PHP] pobierz, plaintext 
<?php
 
class Uzytkownicy extends CActiveRecord
{
 
	public function tableName()
	{
		return 'spr_uzytkownicy';
	}
 
 
	public function rules()
	{
 
		return array(
			array('uzytkownik_login, uzytkownik_haslo', 'required'),
			array('uzytkownik_login, uzytkownik_haslo', 'length', 'max'=>50),
		);
	}
 
 
	public function relations()
	{
 
		return array(
		);
	}
 
	public function attributeLabels()
	{
		return array(
			'uzytkownik_id' => 'ID',
			'uzytkownik_login' => 'Login',
			'uzytkownik_haslo' => 'Hasło',
		);
	}
 
	public static function model($className=__CLASS__)
	{
		return parent::model($className);
	}
}
?>
[PHP] pobierz, plaintext 

Widok

[PHP] pobierz, plaintext 
<h1>Zaloguj się</h1>
<div class="form">
 
<?php
 
$form=$this->beginWidget('CActiveForm', array(
 
    'id' => 'uzytkownicy-zaloguj-form',
    'enableAjaxValidation' => FALSE
 
));
 
?>
 
    <p>Pola oznaczone * są wymagane</p>
 
 
<?php   echo $form->errorSummary($Model);   ?>
 
<div class="row">
<?php    echo $form->labelEx($Model, 'uzytkownik_login');   ?>
<?php    echo $form->textField($Model, 'uzytkownik_login');   ?>  
<?php    echo $form->error($Model, 'uzytkownik_login');   ?>    
</div>
 
<div class="row">
<?php    echo $form->labelEx($Model, 'uzytkownik_haslo');   ?>
<?php    echo $form->passwordField($Model, 'uzytkownik_haslo');   ?>  
<?php    echo $form->error($Model, 'uzytkownik_haslo');   ?>    
</div>
 
<div class="row buttons">
<?php    echo CHtml::submitButton('Zaloguj');   ?>
</div>
 
<?php   $this->endWidget(); ?>
 
</div>
[PHP] pobierz, plaintext 

Kontroler:

[PHP] pobierz, plaintext 
<?php
 
class TestController extends Controller
{
 
	public function actionIndex()
	{
 
            $this->pageTitle = 'Zaloguj';
 
            $Model = new Uzytkownicy;
 
 
             if(isset($_POST['Uzytkownicy']))
            {
 
                 $Model->attributes = $_POST['Uzytkownicy'];
 
                if($Model->validate())
                {
 
                    $Ile = $Model->count(
 
                        'uzytkownik_login = :UzytkownikLogin AND uzytkownik_haslo = :UzytkownikHaslo',
                        array(
 
                            ':UzytkownikLogin' => $Model->attributes['uzytkownik_login'],
                            ':UzytkownikHaslo' => $Model->attributes['uzytkownik_haslo']
 
                        ));
 
                     if($Ile == 1)
                    {
 
                        Yii::app()->session['zalogowany'] = 'tak';
 
                        $Rezultat = $Model->findAll(
 
                        'uzytkownik_login = :UzytkownikLogin AND uzytkownik_haslo = :UzytkownikHaslo',
                        array(
 
                            ':UzytkownikLogin' => $Model->attributes['uzytkownik_login'],
                            ':UzytkownikHaslo' => $Model->attributes['uzytkownik_haslo']
 
                        )
 
                        );
 
                        foreach ($Rezultat as $RezultatWiersz)
                        {
 
                            Yii::app()->session['root'] = $RezultatWiersz->uzytkownik_id;
 
                        }
                }
 
 
            }
 
            }
 
            $this->render('index', array(
 
                'Model' => $Model,
 
            ));
 
 
}
 
        public function actionWyloguj()
	{
 
            Yii::app()->session['zalogowany'] = '';
 
            Yii::app()->session['root'] = '';
 
            $this->redirect(array('test/'));
	}
 
}
?>
[PHP] pobierz, plaintext 

Ten skrypt jest napisany na podstawie tej właśnie książki (a raczej w większości z niej przepisany z moimi lekkimi zmianami).
Chciałbym się dowiedzieć czy tak przygotowany skrypt logowania jest bezpieczny i może być bez obaw zastosowany na stronach opublikowanych online?
Bo powiem szczerze, że mam lekkie obawy gdyż wiem ile trzeba sobie zadać trudu pisząc coś takiego w czystym PHP (głównie chodzi o walidację).
Przepraszam za tak laickie pytanie ale jestem mocno początkujący a do dyspozycji mam tylko tą książkę i dokumentację, która jest napisana dosyć ciężkim wg mnie językiem. Praktycznie nie ma innych źródeł w języku polskim.
Pozdrawiam i z góry dziękuję za odpowiedzi.

Wybrałeś dobry framework, więc korzystaj z jego dobrodziejstw. Nie pisz tego ręcznie, użyj UserIdentity, tak jak pokazują w manualu. Autoryzacja tam pokazana jest napisana na prawdę dobrze, nie ma co kombinować. Jeżeli wykonasz to tak, jak opisują w linku poniżej, możesz spać spokojnie.

Jeżeli nie jesteś pewien co do walidatorów, zawsze możesz przeczytać ich kod. Ja to zrobiłem, są napisane na prawdę dobrze.

http://www.yiiframework.com/doc/guide/1.1/pl/topics.auth

Btw, nie rób tak dużo "enterów" w kodzie, bo nie da się tego czytać.

Witam ponownie.
Po 2 dniach i przejrzeniu niezliczonej liczby stron i forów wreszcie naskrobałem działający formularz logowania ale, że jego bezpieczeństwo jest bardzo ważne to prosiłbym o sprawdzenie i pokazanie ewentualnych błędów/uchybień. Tam gdzie się da to nie będę wstawiał całego kodu tylko jego istotne fragmenty.

Kontroler:

[PHP] pobierz, plaintext 
public function actionLogin()
    {
        $model=new LoginForm; 
        if(isset($_POST['LoginForm'])) 
        {
            $model->attributes=$_POST['LoginForm']; 
            if($model->validate() && $model->login()) 
            {
                $this->redirect(Yii::app()->user->returnUrl); 
            }     
        }
        $this->render('login',array('model'=>$model)); 
    }
 
	public function actionLogout()
	{
		Yii::app()->user->logout();
		$this->redirect(Yii::app()->homeUrl);
	}
[PHP] pobierz, plaintext 

LoginForm.php

[PHP] pobierz, plaintext 
<?php
class LoginForm extends CFormModel 
{
    public $username;
    public $password;
    public $rememberMe;
 
    private $_identity;
 
    public function rules()
    {
        return array(
            array('username, password', 'required'), 
            array('rememberMe', 'boolean'), 
            array('password', 'authenticate'), 
        );
    }
 
    public function attributeLabels()
    {
        return array(
            'rememberMe' => 'Remember me next time',
            'username' => 'Użytkownik',
            'password' => 'Hasło',
        );
    }
 
    public function authenticate($attribute,$params) 
    {
        $this->_identity=new UserIdentity($this->username,$this->password);
        if(!$this->_identity->authenticate())
        {
            $this->addError('password','Incorrect username or password.');
        }
 
    }
 
    public function login()
    {
        if($this->_identity===null) 
        {
            $this->_identity=new UserIdentity($this->username,$this->password);
            $this->_identity->authenticate();
        }
        if($this->_identity->errorCode===UserIdentity::ERROR_NONE)
        {
            $duration=$this->rememberMe ? 3600*24*30 : 0; 
            Yii::app()->user->login($this->_identity,$duration); 
            return true;
        }
        else
        {
            return false;
 
        }
    }
}
?>
[PHP] pobierz, plaintext 

Uzytkownicy.php

[PHP] pobierz, plaintext 
<?php
 
class Uzytkownicy extends CActiveRecord
{
 
	public function tableName()
	{
		return 'spr_uzytkownicy';
	}
 
 
	public function rules()
	{
		return array(
			array('uzytkownik_login, uzytkownik_haslo', 'required'),
			array('uzytkownik_login, uzytkownik_haslo', 'length', 'max'=>50),
		);
	}
 
	public function relations()
	{
		return array(
		);
	}
 
	public function attributeLabels()
	{
		return array(
		);
	}
 
 
	public static function model($className=__CLASS__)
	{
		return parent::model($className);
	}
}
[PHP] pobierz, plaintext 

UserIdentity.php

[PHP] pobierz, plaintext 
<?php
 
class UserIdentity extends CUserIdentity
{
    private $_id;
    public function authenticate()
    {
        $user=Uzytkownicy::model()->findByAttributes(array('uzytkownik_login'=>$this->username));
        if($user===null) 
        {
            $this->errorCode=self::ERROR_USERNAME_INVALID; 
        }
        else if($user->uzytkownik_haslo != $this->password) 
                {
                      $this->errorCode=self::ERROR_PASSWORD_INVALID; 
                }
        else
        {
            $this->_id=$user->uzytkownik_id;
            $this->username=$user->uzytkownik_login;
            $this->errorCode=self::ERROR_NONE;
        }
        return $this->errorCode==self::ERROR_NONE;
    }
 
    public function getId()
    {
        return $this->_id;
    }
}
[PHP] pobierz, plaintext 

Widok:

[PHP] pobierz, plaintext 
<?php
$form=$this->beginWidget('CActiveForm', array( //1
    'id'=>'login-form', //2
    'enableAjaxValidation'=>FALSE,
)); ?>
    <div class="row">
        <?php echo $form->labelEx($model,'username'); ?> 
        <?php echo $form->textField($model,'username'); ?>
        <?php echo $form->error($model,'username'); ?> 
    </div>
 
    <div class="row">
        <?php echo $form->labelEx($model,'password'); ?>
        <?php echo $form->passwordField($model,'password'); ?>
        <?php echo $form->error($model,'password'); ?>
    </div>
 
    <div class="row rememberMe">
        <?php echo $form->checkBox($model,'rememberMe'); ?>
        <?php echo $form->label($model,'rememberMe'); ?>
        <?php echo $form->error($model,'rememberMe'); ?>
    </div>
 
    <div class="row submit">
        <?php echo CHtml::submitButton('Login'); ?> 
    </div>
 
<?php $this->endWidget(); ?>
[PHP] pobierz, plaintext 

Co o tym sądzicie? Wydaje mi się, że jest to strasznie chaotycznie napisane bo to jest zlepek kilku formularzy przerobionych przeze mnie. Szczególnie mnie zastanawia czy nie dałoby się połączyć LoginForm.php i Użytkownicy.php w jeden model? Tylko wtedy musiałby dziedziczyć jednocześnie po CActiveRecord i CFormModel co jest chyba niemożliwe? Byłbym bardzo wdzięczny za wskazówki co można poprawić aby ten interfejs logowania był prostszy i bezpieczny.

Mam jeszcze jedno pytanie.
W książce z Helionu autor zalecał dodanie w config/main.php czegoś takiego:

[PHP] pobierz, plaintext 
'session' => array(
           'class' => 'CDbHttpSession',
           'connectionID' => 'db',
           'sessionTableName' => 'spr_session' 
                ),
[PHP] pobierz, plaintext 

a w bazie danych tabelę sesji, w moim przypadku spr_session(id, expire, data).
Może mi ktoś wytłumaczyć do czego to słuzy i co to ma dać?
Bo testowałem zarówno z tym fragmentem jak i bez niego i firebug pokazuje dokładnie tak samo cookies sesyjne, a jedyna róznica jest w tym, że w tej tabeli zapisują się identyfikatory sesjii. Byłbym wdzięczny jakby mi to ktoś przy okazji wytłumaczył.

Pozdrawiam i z góry dziękuję za odpowiedzi.

Kiedyś napisałem tak

[PHP] pobierz, plaintext 
<?php
class LoginController extends Controller
{
	public function actionIndex()
	{
		$model = new Login;
		if(isset($_POST['Login'])){
			// logowanie użytkownika za pomocą nazwy użytkownika oraz hasła
			$identity=new UserIdentity($_POST['Login']['login'],$_POST['Login']['password']);
			if($identity->authenticate()){
				$logged=true;
				Yii::app()->user->login($identity);
			}
			else{
				$logged="error";
				echo $identity->errorMessage;
			}
		}
		else $logged=false;
		$this->render('index', array(
			'model'=>$model,
			'logged'=>$logged,
		));
	}
 
	public function actionLogout(){
		Yii::app()->user->logout();
		$this->redirect('index.php');
	}
}
 
 
class UserIdentity extends CUserIdentity
{
    private $_id;
    public function authenticate()
    {
        $record=Login::model()->findByAttributes(array('login'=>$this->username));
        if($record===null)
            $this->errorCode=self::ERROR_USERNAME_INVALID;
        else if($record->password!==sha1($this->password))
            $this->errorCode=self::ERROR_PASSWORD_INVALID;
        else
        {
            $this->_id=$record->id;
            $this->setState('login', $record->login);
            $this->errorCode=self::ERROR_NONE;
        }
        return !$this->errorCode;
    }
 
    public function getId()
    {
        return $this->_id;
    }
}
[PHP] pobierz, plaintext 

Wszystko fajnie, ale nie hashujesz hasła, albo ja nie widzę. Hasło trzymane w plain tekście to zło. Yii dostarcza fajny helper, który pomaga prawidłowo hashować hasła. Jego użycie jest banalnie proste. W zasadzie sprowadza się do wywołania dwóch metod, na pewno dasz sobie radę. Hasła hashowane metodami tej klasy są hashowane z użyciem mcryptu bodajże, a więc aktualnego standardu polecanego przez samo php.net.

http://www.yiiframework.com/doc/api/1.1/CPasswordHelper

Jeżeli chodzi o połączenie modelu Użytkownicy i LoginForm, to jest to niemożliwe. Dla początkujących w tym FW może wydać się to pogmatwane, ale ogólna zasada brzmi, że kiedy zapisujesz dane w bazie używaj ActiveRecord, a kiedy tylko pobierasz a potem porzucasz (np. formularz kontaktu, gdzie pobierasz dane, wysylasz maila i je porzucasz) to FormModel.

Sesje na bazie to fajna sprawa, szczególnie na współdzielonych hostingach. Nie będę tu teraz o tym mówił, bo to dość rozległy temat, ale: jeżeli chcesz większe bezpieczeństwo, użyj bazy danych.
Ciastko zawsze będzie, bo zawsze jest porównanie id z ciastka == id z bazy || id z ciastka == id na serwerze (gdzie normalnie trzymane są dane sesji).

Jeżeli masz jeszcze jakieś pytania, to pisz.

PS. Pod żadnym pozorem nie używaj SHA1 jak kolega wyżej oraz nie realizuj hashowania z UserIdentity, rób to w modelu.

Jeśli chodzi o hashowanie to w kilku przykładach było realizowane za pomocą md5 ale je wyciąłem chwilowo żeby kod był czytelniejszy (podczas kombinowania z niedziałającym kodem im mniej znaków tym lepiej) a później zapomniałem dokleić ale oczywiście.
Dziękuję za pomoc
To moje początki z Yii więc pewnie jeszcze niejedno pytanie zadam w tym dziale
Pozdrawiam

Edit://
Czyli rozumiem, że hashowanie najlepiej wykonać tutaj:

[PHP] pobierz, plaintext 
// LoginForm.php
 
 public function authenticate($attribute,$params)
{
$this->_identity=new UserIdentity($this->username,$this->password);
if(!$this->_identity->authenticate())
{
$this->addError('password','Incorrect username or password.');
}
[PHP] pobierz, plaintext 

czyli przed przekazaniem hasła do UserIdentity? Dobrze myślę?

W zasadzie pasowałoby w modelu użytkownika, ale żeby zbytnio nie kombinować, to proponuję tak:

UserIdentity

[PHP] pobierz, plaintext 
// ...
public function authenticate() {
                $user = User::model()->findByAttributes(array('username' => $this->username));
                if ($user === null) {
                        return false;
                } else if (!CPasswordHelper::verifyPassword($this->password, $user->initialPassword)) { // tutaj weryfikujemy zahashowane już hasło
                       return false;
                } else {
                        $this->_id = $user->id_user;
                        $this->username = $user->username;
                        $this->errorCode = self::ERROR_NONE;
                        return true;
                }
}
// ...
[PHP] pobierz, plaintext