Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: [skrypt] uniwersalny skrypcik logowania
Forum PHP.pl > Inne > Oceny
epud
5.06.2006, 17:58:17
jako, że zaczynam dopiero zabawe z obiektowym php prosze o ocene skrypciku na ponize, jest to "uniwersalny" skrypcik logowania uzytkownika do systemu... zalozenie bylo takie abym mogl to prosto przystosowac do innych projetkow bez za duzego grzebania w kodzie, dla tego podajemy nazwe tabeli z uzytkownikami, i nazwe pol z loginem i haslem

co myslicie nadaje sie?

a pod wzgledem obiektowym?

[PHP] pobierz, plaintext 
  1. <?php 
  2. class auth{
  3. 	var $db = NULL;
  4. 	var $table_name;
  5. 	var $login_name;
  6. 	var $pass_name;
  7. 	var $md5;
  8. 	var $login;
  9. 	var $pass;
  10. 	var $dbpass;
  11. 	var $errors = array();
  12. 	public function __construct($db, $table_name, $login_name, $pass_name, $md5 = false){
  13. 		session_start();
  14. 		//$_SESSION['isLoggedIn'] = false;
  15. 		$this -> db = $db;
  16. 		$this -> table_name = $table_name;
  17. 		$this -> login_name = $login_name;
  18. 		$this -> pass_name = $pass_name;
  19. 		$this -> md5 = $md5;
  20. 	}
  21. 	public function authorize($login, $pass){
  22. 		if(empty($login) || empty($pass)){
  23. 			array_push($this -> errors, 'login i hasło nie mogą być puste');
  24. 			return false;
  25. 		}
  26. 		$this -> login = $login;
  27. 		if($this -> md5){
  28. 			$this -> pass = md5($pass);
  29. 		}
  30. 		else{
  31. 			$this -> pass = $pass;
  32. 		}
  33. 		if($this -> getPass()){
  34. 			if($this -> pass == $this -> dbpass){
  35. 				$_SESSION['isLoggedIn'] = true;
  36. 				$_SESSION['userData'] = $this -> getUserData();
  37. 				header("Location: index.php");
  38. 			}
  39. 			else{
  40. 				array_push($this -> errors, 'błędny login lub hasło');
  41. 			}
  42. 		}
  43. 		else{
  44. 			array_push($this -> errors, 'błędny login lub hasło');
  45. 		}
  46. 	}
  47. 	private function getPass(){
  48. 		$this -> dbpass = $this -> db -> GetOne("SELECT ". $this -> pass_name ." FROM ". $this -> table_name ." WHERE ". $this -> login_name." = '".$this -> login."'");
  49. 		if($this -> dbpass){
  50. 			return true;
  51. 		}
  52. 		return false;
  53. 	}
  54. 	public function isLoggedIn(){
  55. 		return $_SESSION['isLoggedIn'];
  56. 	}
  57. 	private function getUserData(){
  58. 		return trim_array($this -> db -> GetRow("SELECT * FROM ".$this -> table_name." WHERE ".$this -> login_name." = '".$this -> login."'"));
  59. 	}
  60. }
  61. ?>
[PHP] pobierz, plaintext


sprawdzanie czy zalogowany czy nie..

[PHP] pobierz, plaintext 
  1. <?php 
  2. $auth = new auth($db, PREFIX."users", 'user_name', 'user_pass', true);
  3. /* END AUTH */
  4.  
  5. if($auth -> isLoggedIn()){//jesli zalogowany
  6. 	$smarty -> display('index.tpl');
  7. }
  8. else{//jesli nie zalogowany
  9. 	$smarty -> display('loginForm.tpl');
  10. }//if($auth -> isLoggedIn())
  11. ?>
[PHP] pobierz, plaintext

wersyfikacjia usera
[PHP] pobierz, plaintext 
  1. <?php
  2. $auth = new auth($db, PREFIX."users", 'user_name', 'user_pass', true);
  3. $auth -> authorize($_POST['login']['user_name'], $_POST['login']['user_pass']);
  4. ?>
[PHP] pobierz, plaintext



z gory dzieki za wszelkie wypowiedzi winksmiley.jpg
dyktek
6.06.2006, 08:54:17
na początek zaznacze ze sam jestem początkujący jeśli chodzi o oop.
testowałem klase i fajnie działa ale mam jedno pytanie po co to
[PHP] pobierz, plaintext 
  1. <?php
  2. array_push($this -> errors, 'błędny login lub hasło');
  3. ?>
[PHP] pobierz, plaintext
skoro piszesz w php5
AcidBurnt
6.06.2006, 09:16:39
zwrocenie komunikatu o blednym loginie i hasle, ktory mozna wyswietlic pozniej uzytkownikowi.
dyktek
6.06.2006, 09:33:58
no to wiem:) tylko chodziło mi raczej po co skoro są wyjątki
TomASS
6.06.2006, 09:44:38
Witam smile.gif

1. jeśli funkcje nazywasz public, to zmienne nazwij konsekwentnie (teraz masz var $zmienna) private (tutaj jest wyjaśnione dlaczego)
2. uważaj z zapytaniem:
[PHP] pobierz, plaintext 
  1. <?php
  2. "SELECT ". $this -> pass_name ." FROM ". $this -> table_name ." WHERE ". $this -> login_name." = '".$this -> login."'"
  3. ?>
[PHP] pobierz, plaintext
na SQL Injection/Insertion.

Narazie to tylko to co mi się w oczy rzuciło.

Sam kiedyś chciałem napisac jakiś porządny krypcik logowania dla początkujących, bo czasmi ludzie mają z tym problemy.
epud
6.06.2006, 10:27:06
Cytat(dyktek @ 6.06.2006, 10:33 ) *
no to wiem:) tylko chodziło mi raczej po co skoro są wyjątki


eee. no dobra ale z tego co sie orientuje wyjatek zatrzyma wykonywanie strony dalej tak? a jak chce tylko napisac nad formem logowania ze bledne haslo jest nic wiece, zaden z tych bledow nie jest krytyczny

Cytat(TomASS @ 6.06.2006, 10:44 ) *
1. jeśli funkcje nazywasz public, to zmienne nazwij konsekwentnie (teraz masz var $zmienna) private (tutaj jest wyjaśnione dlaczego)
2. uważaj z zapytaniem:
[PHP] pobierz, plaintext 
  1. <?php
  2. "SELECT ". $this -> pass_name ." FROM ". $this -> table_name ." WHERE ". $this -> login_name." = '".$this -> login."'"
  3. ?>
[PHP] pobierz, plaintext
na SQL Injection/Insertion.


masz racjie z tym sql injection... tzn w tym przypadku dbam o to zanim wysle zmienne do klasy... na samyum pocatku stronki mam cos takiego:

[PHP] pobierz, plaintext 
  1. <?php
  2. $_POST = trim_array($_POST);
  3. ?>
[PHP] pobierz, plaintext


co usuwa z tresc zmiennych, select, insert, delete tip... i trimuje kazda zniemmna winksmiley.jpg chyba powinno stykac co? ;>

no i zaraz poczytam o tych zmiennych private itp
TomASS
6.06.2006, 10:30:44
Bardzo mądrze smile.gif A jak wygląda ta funkcja trim_array?
epud
6.06.2006, 11:18:21
Cytat(TomASS @ 6.06.2006, 11:30 ) *
Bardzo mądrze smile.gif A jak wygląda ta funkcja trim_array?



tak o:

[PHP] pobierz, plaintext 
  1. <?php 
  2. function trim_array($array){
  3. 	$new = array();
  4. 	foreach($array as $a => $row){
  5. 		if(is_array($row)){
  6. 			$new[$a] =  trim_array($row);
  7. 		}
  8. 		else{
  9. 			$new[$a] = trim($row);
  10. 			$new[$a] = str_replace("SELECT", " ", $row);
  11. 			$new[$a] = str_replace("INSERT", " ", $row);
  12. 			$new[$a] = str_replace("DELETE", " ", $row);
  13. 			$new[$a] = str_replace("UPDATE", " ", $row);
  14. 		}
  15. 	}
  16. 	return $new;
  17. }
  18. ?>
[PHP] pobierz, plaintext


hm.. tylko wlasnie chyba stwierdzilem ze nie zadziala jak ktos poscic w teks SeLeCt a baza i tak to zinterpetuje chyba winksmiley.jpg

ma ktos jakis pomysł jak to porpawic

a powracajac do klasy dodalem TIMEOUTA po ktorym wylogowuje po czasie bezczynnosc:

[PHP] pobierz, plaintext 
  1. <?php 
  2. /**
  3.  * Unwersalna autrozacja uzytkownia
  4.  * @author Acid
  5.  * @version 1.0
  6.  * 
  7.  */
  8. class auth{
  9. 	var $db = NULL;
  10. 	var $table_name;
  11. 	var $login_name;
  12. 	var $pass_name;
  13. 	var $md5;
  14. 	var $login;
  15. 	var $pass;
  16. 	var $dbpass;
  17. 	var $sessionTime;
  18. 	var $errors = array();
  19. 	/**
  20. 	 * Konstruktor klasy
  21. 	 *
  22. 	 * @param object $db
  23. 	 * @param string $table_name
  24. 	 * @param string $login_name
  25. 	 * @param string $pass_name
  26. 	 * @param bool $md5
  27. 	 */
  28. 	public function __construct($db, $table_name, $login_name, $pass_name, $sessionTime = '1200',$md5 = false){
  29. 		session_start();
  30. 		$this -> db = $db;
  31. 		$this -> table_name = $table_name;
  32. 		$this -> login_name = $login_name;
  33. 		$this -> pass_name = $pass_name;
  34. 		$this -> sessionTime =$sessionTime;
  35. 		$this -> md5 = $md5;
  36. 	}
  37. 	/**
  38. 	 * Autoryzacja
  39. 	 *
  40. 	 * @param string $login
  41. 	 * @param string $pass
  42. 	 * @return bool
  43. 	 */
  44. 	public function authorize($login, $pass){
  45. 		if(empty($login) || empty($pass)){
  46. 			array_push($this -> errors, 'login i hasło nie mogą być puste');
  47. 			return false;
  48. 		}
  49. 		$this -> login = $login;
  50. 		if($this -> md5){
  51. 			$this -> pass = md5($pass);
  52. 		}
  53. 		else{
  54. 			$this -> pass = $pass;
  55. 		}
  56. 		if($this -> getPass()){
  57. 			if($this -> pass == $this -> dbpass){
  58. 				$_SESSION['isLoggedIn'] = true;
  59. 				$_SESSION['beginTime'] = time();
  60. 				$_SESSION['userData'] = $this -> getUserData();
  61. 				header("Location: index.php");
  62. 			}
  63. 			else{
  64. 				array_push($this -> errors, 'błędny login lub hasło');
  65. 			}
  66. 		}
  67. 		else{
  68. 			array_push($this -> errors, 'błędny login lub hasło');
  69. 		}
  70. 	}
  71. 	/**
  72. 	 * pobieranie hasła z bazy
  73. 	 *
  74. 	 * @return bool
  75. 	 */
  76. 	private function getPass(){
  77. 		$this -> dbpass = $this -> db -> GetOne("SELECT ". $this -> pass_name ." FROM ". $this -> table_name ." WHERE ". $this -> login_name." = '".$this -> login."'");
  78. 		if($this -> dbpass){
  79. 			return true;
  80. 		}
  81. 		return false;
  82. 	}
  83. 	/**
  84. 	 * Sprawdzanie czy zalogowany
  85. 	 *
  86. 	 * @return bool
  87. 	 */
  88. 	public function isLoggedIn(){
  89. 		if(isset($_SESSION['isLoggedIn']) && $this -> sessionTimeOut()){
  90. 			return true;
  91. 		}
  92. 		return false;
  93. 	}
  94. 	/**
  95. 	 * Pobieranie danych uzytkownia z bazy
  96. 	 *
  97. 	 * @return array mixed
  98. 	 */
  99. 	private function getUserData(){
  100. 		return trim_array($this -> db -> GetRow("SELECT * FROM ".$this -> table_name." WHERE ".$this -> login_name." = '".$this -> login."'"));
  101. 	}
  102. 	/**
  103. 	 * Wylogowywanie
  104. 	 *
  105. 	 */
  106. 	public function logOut(){
  107. 		session_destroy();
  108. 		unset($_SESSION);
  109. 		header("Location: index.php");
  110. 	}
  111. 	private function sessionTimeOut(){
  112. 		if($_SESSION['beginTime'] + $this -> sessionTime < time()){
  113. 			session_destroy();
  114. 			unset($_SESSION);
  115. 			array_push($this ->errors, 'przekroczyłeś czas bezczynnosc');
  116. 			return false;
  117. 		}
  118. 		return true;
  119. 	}
  120. }
  121. ?>
[PHP] pobierz, plaintext
Jim
6.06.2006, 11:44:06
co do trim_array to proponuję zastosować po prostu mysql_real_escape_string" title="Zobacz w manualu php" target="_manual.
A jeśli chciałbyś wykrywać "hacking attempts" to najlepiej zastosować wyrażenia reguralne, ale na tym to ja już się nie znam winksmiley.jpg

btw: dobry pomysł, może sam też skorzystam jak już będzie stablina wersja winksmiley.jpg
epud
6.06.2006, 16:09:38
Cytat(Jim @ 6.06.2006, 12:44 ) *
co do trim_array to proponuję zastosować po prostu mysql_real_escape_string" title="Zobacz w manualu php" target="_manual.
A jeśli chciałbyś wykrywać "hacking attempts" to najlepiej zastosować wyrażenia reguralne, ale na tym to ja już się nie znam winksmiley.jpg

btw: dobry pomysł, może sam też skorzystam jak już będzie stablina wersja winksmiley.jpg



stabilna to juz jest, wdrorzylem ja juz w skrypcje biggrin.gif powiedzcie co by jeszcze dodac to sie doda aby była lepsza...

drobna zmiana, bo wylogowywalo zawsze po czasie nie zaleznie czy user byl aktywny czy nie smile.gif

[PHP] pobierz, plaintext 
  1. <?php
  2. public function isLoggedIn(){
  3. 		if(isset($_SESSION['isLoggedIn']) && $this -> sessionTimeOut()){
  4. 			$_SESSION['beginTime'] = time();
  5. 			return true;
  6. 		}
  7. 		return false;
  8. 	}
  9. ?>
[PHP] pobierz, plaintext
Jarod
6.06.2006, 19:06:48
Cytat(epud @ 6.06.2006, 09:27 ) *
[PHP] pobierz, plaintext 
  1. <?php
  2. $_POST = trim_array($_POST);
  3. ?>
[PHP] pobierz, plaintext



Jeśli mam do przefiltrowania kilka zmiennych POST i klika GET to zamiast filtrować je po kolei, np tak:

[PHP] pobierz, plaintext 
  1. <?php
  2. $_POST['zmienna1']=intval($_POST['zmienna1']);
  3. $_POST['zmienna2']=strval($_POST['zmienna2']);
  4.  
  5. $_GET['zmienna1']=intval($_GET['zmienna1']);
  6. $_GET['zmienna2']=strval($_GET['zmienna2']);
  7. ?>
[PHP] pobierz, plaintext


Mogę zastąpić tak:
[PHP] pobierz, plaintext 
  1. <?php
  2. $_POST = intval($_POST);
  3. $_POST = strval($_POST);
  4. ?>
[PHP] pobierz, plaintext


questionmark.gif?
epud
7.06.2006, 12:55:56
nie, trim_array to f-cja przygotowana przezemnie ktora robi trim na kazdym elemencie tej tablicy
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.