logowanie php

Question

Mam pytanie czy system logowania opisany w drugim odcinku kursu PHP: https://www.youtube.com/watch?v=Pp578w7C9hE, jest bezpieczny? Mam zamiar do połączeń z bazą wykorzystać PDO, ale czy poza tym, jeśli zastosuje takie sprawdzanie loginu i hasła i informacje czy user jest zalogowany, czy nie będę przechowywał w zmiennych sesyjnych będzie bezpieczne? Czy może polecacie jakiś inny przystępny sposób który można w łatwy sposób opanować?

Answer 1

Nie jest bezpieczny,  jest tylko do ćwiczeń - nie na produkcję. 

• Po header dajemy exit
• hasła hashujemy za pomocą password_hash, weryfikujemy za pomocą password_verify
• htmlentit... to nie jest do tego co tam jest pokazane. I w żaden sposób nie chroni Cię to przed SQLI.
• PDO + bindowanie parametrow ( TO CIĘ CHRONI )
• zmienne Login i hasło rzucą noticem.
• W sesji trzymaj tylko np id usera.  (tylko niezbędne rzeczy)
• Nie wyciszaj błędów, tylko je obsługuj. Try.. catch. / isset /  "??" - "$variable = $array["x"] ?? "";
• Szanuj swój Kod. Angielskie naszwy zmiennych, standard PSR-2
• Oddziel html od PHP za pomocą Twiga.

Mysqli zobaczysz już niestety tylko w takich kursach ;) 

Comments

Dzięki za rozjaśnienie tematu.]

"Po header dajemy exit" - mógłbyś coś więcej powiedzieć co miałeś na myśli ?

Hashowanie hasła - rozumię

PDO - rozumię

Jak sprawdzać po zalogowaniu na kolejnych stronach czy user jest zalogowany? Zmienna sesyjna $_SESSION]'zalogowany'] z wartością  true/false ? Czy jest lepszy sposób? Jeśli jest to prosił bym chociaż o jakieś namiary czego szukać :)

Dzięki za pomoc.

---

Jeżeli miałbym dać Ci namiary, to... wyobraź sobie, że takich rzeczy nie robimy już w czystym PHP.  Są od tego frameworki, które ogarniają za nas Routing, Sesje, poprawność danych..  W sesji zamiast zalogowany trzymałbym id usera, jak nie jest zalogowany to domyślnie ma -1 ( Anonimowy) i może być jakaś też rola.

"Po header dajemy exit" - podczas debugowania ładnie zobaczysz, że jak dajesz redirect to się okazuje, że skrypt się magicznie nie zatrzymał ;) dlatego trzeba dać exit.

np. exit( header("location")...);

 

Answer 2

System jest odporny na ataki SQLInjection, ale radzę jeszcze zamiast @ spróbować innych sposobów, zamiast tej nieszczęsnej @. Więc w zmiennych sesyjnych przechowywuj, chyba nie ma lepszych metod.

Comments

 ale radzę jeszcze zamiast @ spróbować innych sposobów, zamiast tej nieszczęsnej @

Co radzisz zamiast tej nieszczęsnej @ ?

---

Pomyślmy... Hmm... Może try catch?

---

"System jest odporny na ataki SQLInjection,"

Pokaż ten fragment kodu ;)