Upewnianie się co do poprawności rekordów zwróconych przez mysqli, PDO

Question

Hej, robię funkcję auth_user i zastanawiam się czy rzucać wyjątkiem jak gdzieś przypadkiem funkcja ta znajdzie w bazie danych dwóch użytkowników o takim samym loginie i haśle czy nie przejmować się takimi detalami jak będę robił metody, funkcje itd.?

<?php
require_once 'config/db.php';

function auth_user($username, $password)
{
    try {
        $db_conn = new PDO(PDO_DSN, DB_USER, DB_PASS);
        $stmt = 'SELECT username, passwd ' .
            'FROM author ' .
            "WHERE username = '?' " .
            "AND passwd = '?'";
        $query = $db_conn->prepare($stmt);
        /** @var PDOStatement $user */
        $user = $query->execute([$username, $password]);
        return $user->rowCount() > 0;
    } catch (PDOException $ex) {
        die('An error occurred at auth_user function: ' . $ex->getMessage());
    }
}

 

Answer 1

Jesli chodzi o autoryzacje, czy uwierzytelnienie - to już odbywa się na istniejącym użytkowniku, nie ma w takim razie możliwości, biorąc pod uwagę poprawną implementacje, że znajdzie się w bazie taki sam użytkownik, walidacja jest zbędna i nie powinno jej być.

Bo już samo wystąpienie 2 rekordów oznacza błąd i to na poziomie implementacji tworzenia użytkowników, czy też zapisu w bazie.

Answer 2

Przypadek znalezienia w bazie danych dwóch użytkowników o tym samym loginie to problem w projekcie bazy danych, nie występujący w procesie jej oprogramowywania.

Aplikacja powinna rzucać wyjątek w momencie próby zarejestrowania się na ten sam login, dlatego pole username powinno posiadać obostrzenie UNIQUE.

jak gdzieś przypadkiem funkcja ta znajdzie w bazie danych dwóch użytkowników o takim samym [...] i haśle

To też brzmi dziwnie dla zaprojektowanej bazy danych.

Istnieje niezerowa szansa, że hasło użytkowników się powtórzy (ponadto ujawnienie takiej informacji sprawi, że użytkownik ze złymi zamiarami może je próbować na znanych loginach użytkowników), a samo sprawdzenie przez algorytmy hashowania dedykowanych hasłom jest zwyczajnie niemożliwe, ponieważ dla tego samego ciągu znaków wygenerowana wartość funkcji skrótu będzie różna.

Answer 3

• Zwykła funkcja która robi coś, szczególnie tak konkretną rzecz, nie powinna wywoływać die.
• Proponuję użyć jakiejś libki z query builderem, bo sklejanie query w ten sposób jest niebezpieczne i bardzo nieczytelne.
• Dodaj do bazy UNIQUE na kolumnie z mailem/loginem.
• Możesz przed insertem nowego usera sprawdzić czy podany email/login w bazie istnieje. Jeśli tak, zwróć odpowiednią informację.
• Tam gdzie rzucasz exception, rzucaj, nie łap - zakładamy pozytywny scenariusz, więc wszystko powinno być ok. We frameworkach zazwyczaj inna warstwa abstrakcji odpowiada za error handling.
• W bazie mamy UNIQUE, więc duplikat userów nie powinien się zdarzyć - mimo wszystko ja rzucałbym Exception. Prawdopodobnie nigdy nie poleci, ale jednak 

Comments

Proponuję użyć jakiejś libki z query builderem, bo sklejanie query w ten sposób jest niebezpieczne i bardzo nieczytelne.

A ja wiem, widzieć oryginalnego SQLa to jedna z najczytelniejszych rzeczy ;) No i ma ładne placeholdery do argumentów, więc ryzyka też zbytnio nie ma. Tylko to mógłby być multiline string, a nie ciąg konkatenacji per linia.

Jak najbardziej można by długoterminowo użyć buildera lub ORMa, ale to jest często zadanie na skalę przeprojektowania aplikacji, więc trochę duża ta uwaga.

We frameworkach zazwyczaj inna warstwa abstrakcji odpowiada za error handling.

Ale ewidentnie to nie jest framework i tu prawdopodobnie w ogóle nie ma tych warstw, więc nie ma miedzy czym przenosić. Uwaga jest OK, ale to wygląda na razie bardziej jak mikro-skrypt :)