[PORADNIK] Tworzenie gry przeglądarkowej - #5 Logowanie i rejestracja

Question

Cześć :)

W kolejnej części kursu napiszemy klasę realizującą rejestrację i logowanie użytkownika. Dodamy też proste zabezpieczenie przed wejściem na "strony gry" niezalogowanego użytkownika.

Zapraszam :)

Wpis znajduje się tutaj.

Answer 1

Czemu hashujesz hasła MD5? Do haseł w PHP powinno się stosować algorytm bcrypt dostępny za pośrednictwem funkcji password_hash i password_verify (a dla starszych przy pomocy password_compat).

MD5 jest obecnie rozwiązaniem skrajnie przestarzałym i de facto daje bezpieczeństwo na poziomie plain textu. No chyba że w części poświęconej bezpieczeństwu po raz kolejny będziesz modyfikował tablicę ;)

Comments

W którym miejscu hashuje hasło?

---

Choćby tutaj:

protected function getIdByUsername() { //pobieranie id użytkownika mając jego nick
        
        $array = DatabaseManager::selectBySQL("SELECT * FROM users WHERE username='".$this->login."' AND password='".md5($this->password)."' LIMIT 1");
        foreach($array as $key) {
            $id = $key['id'];
        }
        return $id; //zwracamy id
        
    }

 

---

Nie ważne, źle Cię zrozumiałem. Jestem zmęczony, wybacz. Słyszałem że MD5 nie są najlepszym rozwiązaniem, ale nie wiedziałem, że aż tak złym. Poprawię to już w tym poście w wolnej chwili, dzięki że mi powiedziałeś.

PS: Wpędzasz mnie a paranoje :D Za każdym razem gdy wrzucam post i widzę że pojawiła się nowa odpowiedź to już widzę Twój post z wypunktowaną listą błędów :D

---

Heh, przepraszam. Ale w końcu jestem naczelnym WebKrytyka - stanowisko zobowiązuje ;)

---

Geek myśle że tylko na tym skorzystasz :)

---

Jasne, że tak. Nie napisałem że tego nie doceniam. Przeciwnie :)

---

Spoko, ja tez nie napisalem ze tego nie doceniasz

Answer 2

hej ;) kiedy wyjdzie 6-ta część?

Comments

Już dzisiaj :)

---

O której godzinie wyjdzie ten post?

---

O 21:00 wyjdzie :)

Answer 3

Dzięki serdeczne za kolejny wpis;-)

Comments

Nie ma sprawy :)

Answer 4

header('Location: xxx');

nie przerywa wykonywania skryptu!!

Comments

Gdzie tak napisałem? Byłem zmęczony pisząc i możliwe, że popełniłem błąd.

---

Ciekawostka.
Jak zrobimy :
$um = new UserManager;
$um->getIdByUsername();
To dostaniemy notice.
IMHO do konstruktora w UW można wsadzić VO ( który przechowuje tylko login, hasło i jakąś walidację) i nie skracać zmiennych.
Ciekawostka #2: Kiedyś trafiłem na tego linka http://www.ex-parrot.com/pdw/Mail-RFC822-Address.html :D

---

Nie napisałeś, ale używasz tego bez używania exit; A nuż ominiesz coś, pomylisz jakiś warunek, czy coś, a będziesz przeświadczony o tym, że przecież jak masz przekierowanie, to możesz o skrypcie zapomnieć, i będziesz miał potem problem.

---

Faktycznie. Dzięki :)

Answer 5

Dzięki za ten wpis.

Comments

Nie ma problemu :)