Login s pomoci pdo – PHP – Fórum – Programujte.com
 x   TIP: Přetáhni ikonu na hlavní panel pro připnutí webu

Login s pomoci pdo – PHP – Fórum – Programujte.comLogin s pomoci pdo – PHP – Fórum – Programujte.com

 

Toto vlákno bylo označeno za vyřešené.
tribalcz0
Super člen
16. 12. 2013   #1
-
0
-

ahoj mohl by mi někdo helpnou s vytvořením nějakého login formus vyuzitim pdo už se nad tím lopotím pár hodin a zatím sem nenašel žádnou ucelenouucebni/tutorial pomoci ktere bych se to mohl naucit

sesmolil sem toto už od pohledu mi je jasné že je to ptákovina ale prostě nevím jak na to :-( dost možná sem i zbytečně namnožil funkce ve třídě ale to jde ruku v ruce s kodem ktry sem myslel že bude fungovat alespn z casti

<?php


class Login {
    private function listOfUsers($login, $sha1pass)
    {
        $result = Database::query('SELECT `login`, `password` FROM `users` WHERE login = ' . $login . ' and password = ' . $sha1pass . '');
        return $result->fetchALL();
        
    }
    
    private function countUsers($login, $sha1pass)
    {
        $count = $this->listOfUsers($login, $sha1pass);
        $auth = $count->rowCount();
        if($auth == 1)
        {
        session_start();
        $_SESSION['login'] = stripslashes($login);
    header("Location: ../index.php?clanek=uvod");
        } else {
            echo('něco je blbě');
        }
    }
    
    public function writeForm()
    {
        echo("<form method='post'>");
        $form = new form();
        $form->input('text', 'nick', 'nick', '', 1);
        $form->input('password', 'password', 'password', '', 2);
        $form->button('submit', 'go', 'Přihlásit');
    }
    
    public function signIn()
    {
        if(isset($_POST['go']))
        {
            $this->countUsers($_POST['nick'], $_POST['password']);
        }
    }
    
    public function write()
    {
        $this->signIn();
        $this->writeForm();
    }
}

?>
Nahlásit jako SPAM
IP: 178.209.131.–
ench0
Stálý člen
16. 12. 2013   #2
-
0
-

Pomohlo by, kdybys napsal, co používáš k připojení se k databázi. Co to je za třídu? Jde o to, že to jméno a heslo bys neměl vkládat do SQL dotazu jen tak zřetězením, ale za použití nějakých tokenů. Vystavuješ se nebezpečí SQL injection. Když nám prozradíš, jakou třídu k tomu používáš, tak ti snad i někdo poradí, jak ty tokeny použít.

Další, čeho jsem si všiml, je, že rozhodně v metodě signIn() nepředáváš  do countUsers()  heslo v SHA1,

Nahlásit jako SPAM
IP: 77.242.90.–
I programování je pudová záležitost. Buď to pude, nebo to nepude
tribalcz0
Super člen
16. 12. 2013   #3
-
0
-

k pripojeni pouzivam tohle 


class Database {
    private static $spojeni;
    
    private static $nastaveni = Array(
      PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,
      PDO::MYSQL_ATTR_INIT_COMMAND => "SET NAMES utf8"
    );
    public static function connect($host, $uzivatel, $heslo, $databaze) 
    {
        if (!isset(self::$spojeni)) 
        {
            self::$spojeni = @new PDO (
                    "mysql:host=$host;dbname=$databaze",
                    $uzivatel,
                    $heslo,
                    self::$nastaveni
                );
        }
        return self::$spojeni;
    }
    
    public static function query($sql, $parametry = array()) {
        $dotaz = self::$spojeni->prepare($sql);
        $dotaz->execute($parametry);
        return $dotaz;
    }
}

?>
Nahlásit jako SPAM
IP: 178.209.131.–
tribalcz0
Super člen
16. 12. 2013   #4
-
0
-

hele jeste k tomu injectionu jak jeto u pdo v par clankach prevazne zahranicnich sem cetl ze riziko injectionu spada temer na nulu s pouzitim pdo co je na tom pravdy

Nahlásit jako SPAM
IP: 178.209.131.–
ench0
Stálý člen
16. 12. 2013   #5
-
0
-

Ano, za předpokladu správného použití PDO by to mohla být pravda. Ale podle tvého kódu to zatím vypadá na špatné použití. 

Podívej se sem na example #1: http://www.php.net/manual/en/pdo.prepare.php 

Neboli: zdá se, že ta třída Database je v rámci možností "použitelná" ale způsob, jakým ji používáš je nesprávný. 

Minimálně řádek 

$result = Database::query('SELECT `login`, `password` FROM `users` WHERE login = ' . $login . ' and password = ' . $sha1pass . '');

Nahraď tímto: 

$result = Database::query('SELECT `login`, `password` FROM `users` WHERE login = :login and password = :password ', array(':login'=>$login, ':password'=>$sha1pass));

Neboli využiješ možnosti PDO k ochraně proti sql injection. V mém příkladě (který je velmi podobný těm na php.net) použiješ tokeny (':login' a ':password') v PDO:prepare() a následně v PDO:execute jim přiřadíš hodnoty (to je ten array, který předáváš jako druhý parametr hned za dotazem).

Nahlásit jako SPAM
IP: 77.242.90.–
I programování je pudová záležitost. Buď to pude, nebo to nepude
tribalcz0
Super člen
16. 12. 2013   #6
-
0
-

ok dikytohle využívám ale jen ke vkládání do db ale místo tokenu :login používám otazníkyjako příklad ukážu část kodu kde ukládá data z formuláře pro dotazy webmasterovi

private function insertQuery($nick, $email, $subject, $messages)
    {
        Database::query('INSERT INTO `dotaz_wm` (`date`,`nick`,`email`,`subject`,`messages`,ip) VALUES (NOW(),?,?,?,?,?)', array($nick, $email, $subject, $messages, $_SERVER['REMOTE_ADDR']));
    }

de fakto je to vlastně poprvý co o chvíle kdy jsem začal využívat pdo potřebuju něco ověřit podle dat které zadá uživatel takže abych to zkrátil pokud do scriptu předávám nějaká data která zadává uživatel tak se nesmí napsat toto 

private function listOfRecords($limit)
    {
        $result = Database::query('SELECT  `date`, `nick`, `email`, `subject`, `messages` FROM `dotaz_wm` ORDER BY `date` DESC LIMIT '.$limit.'');
        return $result->fetchAll();
    }

vždy musím tato data předat pomocí pole abych se vyhl rizikům ale vratme se zpet k puvodnimu dotazu stale to neřeší můj problém vím že si to něldo může vykládat jako takovéto typické čecháčkovství ale už prostě nevím co mám použít z toho všeho co nabízí PDO aby úspěšně vytvořil především bezpečný script pro login použitelný na ostrém serveru to o co sem se poukoušel zde byl jen pokus jak to přibližně udělat abych to pochopil a pak vylepšil o různé funkce tn puvodni script ml vlastne akorat prevzit data z formulare spocitat zda je v db nejaky zaznam odpovidajici zadanym udaju a do session ulozit nick uzivatele v proceduralnim kodovani y ta nejdulezitejsi cast kodu vypadala takto 

$dotaz = mysql_query("select * from uzivatele where login = '$login' and heslo = '$sha1heslo'");
$overeni = mysql_num_rows($dotaz);
$row = mysql_fetch_array($dotaz);
if($overeni == 1) {
    session_start();
    $_SESSION['login'] = stripslashes($login);
    header("Location: ../index.php?clanek=uvod");
    die();
} else {
    echo"Zadal jsi špatný login nebo heslo!";
}
Nahlásit jako SPAM
IP: 178.209.131.–
Kit+15
Guru
18. 12. 2013   #7
-
0
-

#3 tribalcz
Statickým třídám se vyhýbám velkým obloukem. Je s nimi víc starostí, než užitku. U malé aplikace to není vidět, ale jakmile se trochu rozroste, objeví se jejich nevýhody. Hlavně se blbě testují.

Nahlásit jako SPAM
IP: 46.174.34.–
Komentáře označují místa, kde programátor udělal chybu nebo něco nedodělal.
tribalcz0
Super člen
18. 12. 2013   #8
-
0
-

ja je temer nevyužívá jn v nejkrajněšjších případejch jako je třeba nastavení webu resp cms, popřípadě i databáze a vtěchto případech výhody převyšují nevýhody jelikož se taková data pak sdílí celou aplikací obecně se řídím jedním pravidlem a to takový že pokud musím přemýšlet zda statiku použít tak vše raději napíšu bez statiky nechci nikomu nic vnucovat je to čistě jen můj osobní názor samozřejmě sou lidé kteří se statiky zastávají a používají ji neuváženě a pak to dopadá jak to dopadá

Nahlásit jako SPAM
IP: 178.209.131.–
Kit+15
Guru
18. 12. 2013   #9
-
0
-

#8 tribalcz
jelikož se taková data pak sdílí celou aplikací

To je přesně to, co mi na statických třídách vadí. Stanou se globálním objektem. V některých případech je to prospěšné - obecně u tříd, které nemají žádný vnitřní stav, ale je to jen balík (např. matematických) funkcí.

Statické spojení s databází znemožňuje tuto databázi dynamicky vyměnit za jinou, například testovací.

Nahlásit jako SPAM
IP: 46.174.34.–
Komentáře označují místa, kde programátor udělal chybu nebo něco nedodělal.
tribalcz0
Super člen
18. 12. 2013   #10
-
0
-

nevim jak to momentalne myslis ale ja menim pripojenou db tim ze prepisu  

Database::connect('localhost', 'root', '', 'test')


na  

Database::connect('localhost', 'root', '', 'test2')


toť vše nebo co myslíš zvolit jinou db pomocí formuláře?????

Nahlásit jako SPAM
IP: 178.209.131.–
Kit+15
Guru
18. 12. 2013   #11
-
0
-

#10 tribalcz
Přepisování si nemohu dovolit, protože by mi po dobu testů aplikace nefungovala. Třídy musí mít mezi sebou co nejméně vazeb, aby se tyto třídy daly testovat samostatně a nezávisle na ostatních. Globální třída je hodně silnou vazbou. Pokud místo třídy Database potřebuji po dobu testů třídě podstrčit něco jiného (mock), tak to u statické třídy není možné.

Nahlásit jako SPAM
IP: 46.174.34.–
Komentáře označují místa, kde programátor udělal chybu nebo něco nedodělal.
tribalcz0
Super člen
19. 12. 2013   #12
-
0
-

#11 Kit
v tomhle ohledu s tebou souhlasím ale nic méně bych se rád vrátil k původnímu dotazu

Nahlásit jako SPAM
IP: 178.209.131.–
tribalcz0
Super člen
19. 12. 2013   #13
-
0
-

takže chyba nakonec odhalena byla zde 

   private function listOfUsers($login, $sha1pass)
    {
        $result = Database::query('SELECT * FROM `users` WHERE login = :login and password = :password ', array(':login'=>$login, ':password'=>$sha1pass));
        return $result->fetchALL();
        
    }

vynucoval sem script vypisovat data tudíž správně to je takto 

   private function listOfUsers($login, $sha1pass)
    {
        $result = Database::query('SELECT * FROM `users` WHERE login = :login and password = :password ', array(':login'=>$login, ':password'=>$sha1pass));
        return $result;
        
    }


jinak byl sript naprosto v pořádku opomenu li že jsem od začátku zapoměl na tokeny

Nahlásit jako SPAM
IP: 178.209.131.–
tribalcz0
Super člen
19. 12. 2013   #14
-
0
-

ještě bych se chtěl zeptat za toto  (myslím tím ty tokeny)

$result = Database::query('SELECT * FROM `users` WHERE login = :login and password = :password ', array(':login'=>$login, ':password'=>$sha1pass));

lze nahradit tímto 

$result = Database::query('SELECT * FROM `users` WHERE login = ? and password = ? ', array($login, $sha1pass));
Nahlásit jako SPAM
IP: 178.209.131.–
Kit+15
Guru
19. 12. 2013   #15
-
0
-

#14 tribalcz
Ano, lze použít kratší zápis, pokud se tím neztratí přehlednost. Používám to.

Nahlásit jako SPAM
IP: 46.174.34.–
Komentáře označují místa, kde programátor udělal chybu nebo něco nedodělal.
tribalcz0
Super člen
19. 12. 2013   #16
-
0
-

#15 Kit
ok to je dobře protože já tu formu z otazníkama používam pořád

Nahlásit jako SPAM
IP: 178.209.131.–
Zjistit počet nových příspěvků

Přidej příspěvek

Toto téma je starší jak čtvrt roku – přidej svůj příspěvek jen tehdy, máš-li k tématu opravdu co říct!

Ano, opravdu chci reagovat → zobrazí formulář pro přidání příspěvku

×Vložení zdrojáku

×Vložení obrázku

Vložit URL obrázku Vybrat obrázek na disku
Vlož URL adresu obrázku:
Klikni a vyber obrázek z počítače:

×Vložení videa

Aktuálně jsou podporována videa ze serverů YouTube, Vimeo a Dailymotion.
×
 
Podporujeme Gravatara.
Zadej URL adresu Avatara (40 x 40 px) nebo emailovou adresu pro použití Gravatara.
Email nikam neukládáme, po získání Gravatara je zahozen.
-
Pravidla pro psaní příspěvků, používej diakritiku. ENTER pro nový odstavec, SHIFT + ENTER pro nový řádek.
Sledovat nové příspěvky (pouze pro přihlášené)
Sleduj vlákno a v případě přidání nového příspěvku o tom budeš vědět mezi prvními.
Reaguješ na příspěvek:

Uživatelé prohlížející si toto vlákno

Uživatelé on-line: 0 registrovaných, 21 hostů

Podobná vlákna

Pdo unquote — založil peter

Prepojenie 2 tabuliek PDO — založil Zelenac14

Pdo online - učebnice — založil tribalcz

Zapis do MySQL + PDO — založil zelenac1

PDO pripojenie do MySQL — založil zelenac1

 

Hostujeme u Českého hostingu       ISSN 1801-1586       ⇡ Nahoru Webtea.cz logo © 20032024 Programujte.com
Zasadilo a pěstuje Webtea.cz, šéfredaktor Lukáš Churý