Login s pomoci pdo – PHP – Fórum – Programujte.com

ahoj mohl by mi někdo helpnou s vytvořením nějakého login formus vyuzitim pdo už se nad tím lopotím pár hodin a zatím sem nenašel žádnou ucelenouucebni/tutorial pomoci ktere bych se to mohl naucit

sesmolil sem toto už od pohledu mi je jasné že je to ptákovina ale prostě nevím jak na to :-( dost možná sem i zbytečně namnožil funkce ve třídě ale to jde ruku v ruce s kodem ktry sem myslel že bude fungovat alespn z casti

<?php


class Login {
    private function listOfUsers($login, $sha1pass)
    {
        $result = Database::query('SELECT `login`, `password` FROM `users` WHERE login = ' . $login . ' and password = ' . $sha1pass . '');
        return $result->fetchALL();
        
    }
    
    private function countUsers($login, $sha1pass)
    {
        $count = $this->listOfUsers($login, $sha1pass);
        $auth = $count->rowCount();
        if($auth == 1)
        {
        session_start();
        $_SESSION['login'] = stripslashes($login);
    header("Location: ../index.php?clanek=uvod");
        } else {
            echo('něco je blbě');
        }
    }
    
    public function writeForm()
    {
        echo("<form method='post'>");
        $form = new form();
        $form->input('text', 'nick', 'nick', '', 1);
        $form->input('password', 'password', 'password', '', 2);
        $form->button('submit', 'go', 'Přihlásit');
    }
    
    public function signIn()
    {
        if(isset($_POST['go']))
        {
            $this->countUsers($_POST['nick'], $_POST['password']);
        }
    }
    
    public function write()
    {
        $this->signIn();
        $this->writeForm();
    }
}

?>

Pomohlo by, kdybys napsal, co používáš k připojení se k databázi. Co to je za třídu? Jde o to, že to jméno a heslo bys neměl vkládat do SQL dotazu jen tak zřetězením, ale za použití nějakých tokenů. Vystavuješ se nebezpečí SQL injection. Když nám prozradíš, jakou třídu k tomu používáš, tak ti snad i někdo poradí, jak ty tokeny použít.

Další, čeho jsem si všiml, je, že rozhodně v metodě signIn() nepředáváš  do countUsers()  heslo v SHA1,

k pripojeni pouzivam tohle 

class Database {
    private static $spojeni;
    
    private static $nastaveni = Array(
      PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,
      PDO::MYSQL_ATTR_INIT_COMMAND => "SET NAMES utf8"
    );
    public static function connect($host, $uzivatel, $heslo, $databaze) 
    {
        if (!isset(self::$spojeni)) 
        {
            self::$spojeni = @new PDO (
                    "mysql:host=$host;dbname=$databaze",
                    $uzivatel,
                    $heslo,
                    self::$nastaveni
                );
        }
        return self::$spojeni;
    }
    
    public static function query($sql, $parametry = array()) {
        $dotaz = self::$spojeni->prepare($sql);
        $dotaz->execute($parametry);
        return $dotaz;
    }
}

?>

hele jeste k tomu injectionu jak jeto u pdo v par clankach prevazne zahranicnich sem cetl ze riziko injectionu spada temer na nulu s pouzitim pdo co je na tom pravdy

Ano, za předpokladu správného použití PDO by to mohla být pravda. Ale podle tvého kódu to zatím vypadá na špatné použití. 

Podívej se sem na example #1: http://www.php.net/manual/en/pdo.prepare.php 

Neboli: zdá se, že ta třída Database je v rámci možností "použitelná" ale způsob, jakým ji používáš je nesprávný. 

Minimálně řádek 

$result = Database::query('SELECT `login`, `password` FROM `users` WHERE login = ' . $login . ' and password = ' . $sha1pass . '');

Nahraď tímto: 

$result = Database::query('SELECT `login`, `password` FROM `users` WHERE login = :login and password = :password ', array(':login'=>$login, ':password'=>$sha1pass));

Neboli využiješ možnosti PDO k ochraně proti sql injection. V mém příkladě (který je velmi podobný těm na php.net) použiješ tokeny (':login' a ':password') v PDO:prepare() a následně v PDO:execute jim přiřadíš hodnoty (to je ten array, který předáváš jako druhý parametr hned za dotazem).

ok dikytohle využívám ale jen ke vkládání do db ale místo tokenu :login používám otazníkyjako příklad ukážu část kodu kde ukládá data z formuláře pro dotazy webmasterovi

private function insertQuery($nick, $email, $subject, $messages)
    {
        Database::query('INSERT INTO `dotaz_wm` (`date`,`nick`,`email`,`subject`,`messages`,ip) VALUES (NOW(),?,?,?,?,?)', array($nick, $email, $subject, $messages, $_SERVER['REMOTE_ADDR']));
    }

de fakto je to vlastně poprvý co o chvíle kdy jsem začal využívat pdo potřebuju něco ověřit podle dat které zadá uživatel takže abych to zkrátil pokud do scriptu předávám nějaká data která zadává uživatel tak se nesmí napsat toto 

private function listOfRecords($limit)
    {
        $result = Database::query('SELECT  `date`, `nick`, `email`, `subject`, `messages` FROM `dotaz_wm` ORDER BY `date` DESC LIMIT '.$limit.'');
        return $result->fetchAll();
    }

vždy musím tato data předat pomocí pole abych se vyhl rizikům ale vratme se zpet k puvodnimu dotazu stale to neřeší můj problém vím že si to něldo může vykládat jako takovéto typické čecháčkovství ale už prostě nevím co mám použít z toho všeho co nabízí PDO aby úspěšně vytvořil především bezpečný script pro login použitelný na ostrém serveru to o co sem se poukoušel zde byl jen pokus jak to přibližně udělat abych to pochopil a pak vylepšil o různé funkce tn puvodni script ml vlastne akorat prevzit data z formulare spocitat zda je v db nejaky zaznam odpovidajici zadanym udaju a do session ulozit nick uzivatele v proceduralnim kodovani y ta nejdulezitejsi cast kodu vypadala takto 

$dotaz = mysql_query("select * from uzivatele where login = '$login' and heslo = '$sha1heslo'");
$overeni = mysql_num_rows($dotaz);
$row = mysql_fetch_array($dotaz);
if($overeni == 1) {
    session_start();
    $_SESSION['login'] = stripslashes($login);
    header("Location: ../index.php?clanek=uvod");
    die();
} else {
    echo"Zadal jsi špatný login nebo heslo!";
}

#3 tribalcz
Statickým třídám se vyhýbám velkým obloukem. Je s nimi víc starostí, než užitku. U malé aplikace to není vidět, ale jakmile se trochu rozroste, objeví se jejich nevýhody. Hlavně se blbě testují.

ja je temer nevyužívá jn v nejkrajněšjších případejch jako je třeba nastavení webu resp cms, popřípadě i databáze a vtěchto případech výhody převyšují nevýhody jelikož se taková data pak sdílí celou aplikací obecně se řídím jedním pravidlem a to takový že pokud musím přemýšlet zda statiku použít tak vše raději napíšu bez statiky nechci nikomu nic vnucovat je to čistě jen můj osobní názor samozřejmě sou lidé kteří se statiky zastávají a používají ji neuváženě a pak to dopadá jak to dopadá

#8 tribalcz
jelikož se taková data pak sdílí celou aplikací

To je přesně to, co mi na statických třídách vadí. Stanou se globálním objektem. V některých případech je to prospěšné - obecně u tříd, které nemají žádný vnitřní stav, ale je to jen balík (např. matematických) funkcí.

Statické spojení s databází znemožňuje tuto databázi dynamicky vyměnit za jinou, například testovací.

nevim jak to momentalne myslis ale ja menim pripojenou db tim ze prepisu  

Database::connect('localhost', 'root', '', 'test')

na  

Database::connect('localhost', 'root', '', 'test2')

toť vše nebo co myslíš zvolit jinou db pomocí formuláře?????

#10 tribalcz
Přepisování si nemohu dovolit, protože by mi po dobu testů aplikace nefungovala. Třídy musí mít mezi sebou co nejméně vazeb, aby se tyto třídy daly testovat samostatně a nezávisle na ostatních. Globální třída je hodně silnou vazbou. Pokud místo třídy Database potřebuji po dobu testů třídě podstrčit něco jiného (mock), tak to u statické třídy není možné.

#11 Kit
v tomhle ohledu s tebou souhlasím ale nic méně bych se rád vrátil k původnímu dotazu

takže chyba nakonec odhalena byla zde 

   private function listOfUsers($login, $sha1pass)
    {
        $result = Database::query('SELECT * FROM `users` WHERE login = :login and password = :password ', array(':login'=>$login, ':password'=>$sha1pass));
        return $result->fetchALL();
        
    }

vynucoval sem script vypisovat data tudíž správně to je takto 

   private function listOfUsers($login, $sha1pass)
    {
        $result = Database::query('SELECT * FROM `users` WHERE login = :login and password = :password ', array(':login'=>$login, ':password'=>$sha1pass));
        return $result;
        
    }

jinak byl sript naprosto v pořádku opomenu li že jsem od začátku zapoměl na tokeny

ještě bych se chtěl zeptat za toto  (myslím tím ty tokeny)

$result = Database::query('SELECT * FROM `users` WHERE login = :login and password = :password ', array(':login'=>$login, ':password'=>$sha1pass));

lze nahradit tímto 

$result = Database::query('SELECT * FROM `users` WHERE login = ? and password = ? ', array($login, $sha1pass));

#14 tribalcz
Ano, lze použít kratší zápis, pokud se tím neztratí přehlednost. Používám to.

#15 Kit
ok to je dobře protože já tu formu z otazníkama používam pořád