[FenKeN]

Servus WF-Ler,

ich hab mich mal spontan an die Arbeit gemacht und ein kleines aber hoffentlich funktionierendes Loginsystem geschrieben.
Das ganze kann ich momentan nicht testen, da ich kein xampp oder einen Server hierhabe..
Wäre nett, wenn ihr mir sagt, was ihr davon haltet, was noch fehlt und oder was falsch ist.

<?php
	class login 
	{
		private $Name, $Passwd;

		public function __construct($lname, $lpasswd) 
		{
			$this->Name = $lname;
			$this->Passwd = $lpasswd;

			return LogMeIn();
		}

		//Setter
		private function SetSessionData($DATA) 
		{
			$_SESSION['uid'] = $DATA['uid'];
			$_SESSION['username'] = $DATA['username'];
		}

		//Getter
		//Kann für spätere Erweiterungen verwendet werden
		private function GetSessionData()
		{
			$DATA = array ( 'uid' => $_SESSION['uid'],
							'username' => $_SESSION['username']
						  );
			return $DATA;
		}

		private function LogMeIn() 
		{
			$db = new Database("localhost","user","passwd");
			$log = $db->pdo->prepare("SELECT uid, username FROM users WHERE username=:uName AND passwd=:pwd");
			$log->bindValue(':uName', $this->Name);
			$log->bindValue(':pwd', md5($this->Passwd));
			$log->execute();
			$DATA = $log->fetch();

			if($DATA != null)
			{
				SetSessionData($DATA);

				//Setzt den letzten Klick auf NOW()
				//Erforderlich für die Useronline Liste
				$hits = $db->SetLastHit($DATA);
                                return true;
			}

                        return false;
		}
	}
?>

Aufrufbar wäre das ganze per: $login = new login($name,passwort);


Wenn ihr wollt, könnt ihr das ganze natürlich auch verwenden (Eher so an die Anfänger gedacht).
Würde dann auch noch die Databaseklasse freigeben.

mfg
Cryz

Dieser Beitrag wurde von CryztaN bearbeitet: 15. Juni 2012 - 11:13

[Rumpelzahn]

es fehlt mir irgendwie das überprüfen von loginname/passwort, die returns bei false, registration usw ...
oop ist für anfänger allerdings nichts

[FenKeN]

$db = new Database("localhost","user","passwd");
                        $log = $db->pdo->prepare("SELECT uid, username FROM users WHERE username=:uName AND passwd=:pwd");
                        $log->bindValue(':uName', $this->Name);
                        $log->bindValue(':pwd', $this->Passwd);
                        $log->execute();
                        $DATA = $log->fetch();

                        if($DATA != null)
                        {
                                SetSessionData($DATA);

                                //Setzt den letzten Klick auf NOW()
                                //Erforderlich für die Useronline Liste
                                $hits = $db->SetLastHit($DATA);
                        }

Dort prüfe ich doch, ob die eingegebenen Daten in der DB vorhanden sind. Wenn DATA null ist passiert noch nichts. Später könnte man da noch ein "login fehlgeschlagen" etc einbauen. Wenn DATA aber nicht NULL ist, hat er ja Daten gefunden und setzt die Session..

Registration hab ich jetzt mal als Vorraussetzung gesetzt, das dürften auch Anfänger schaffen.

[Rumpelzahn]

das passwort lässt du unverschlüsselt?

[FenKeN]

Oh darauf hab ich grad garnicht geachtet. Ist ja auch in 15 Minunten entstanden.
md5() oder sha1() werd ich natürlich noch einbauen

[Rumpelzahn]

dann werf ich noch kurz http://php.net/manua...cape-string.php in den raum :-)

[FenKeN]

Und ich antworte dir hiermit..
http://net.tutsplus....atabase-access/

mysql_real_escape_string wird dank PDO sogut wie Nutzlos Wenns um Datenbankzugriffe geht.
Prepared Statements -> falls dir das was sagt ..

Dieser Beitrag wurde von CryztaN bearbeitet: 15. Juni 2012 - 12:43

[Rumpelzahn]

danke, PDO sagte mir noch garnichts! schau ich mir mal an.

[FenKeN]

Kein Problem
Der Vorteil von PDO zb ist auch noch, dass du eine Abfrage mehrmals mit verschiedenen Parametern benutzen kannst.
Aber lies dir vorher mal alles durch, dort wird dir schon alles erklärt.

[Ludacris]

Ad OOP und Anfänger: Ich würde JEDEM der beginnt PHP zu Programmieren empfehlen mit OOP zu arbeiten, ich selbst habe zu PHP4 Zeiten damit begonnen wo PHPOOP noch lang nicht im Gespräch war und ich tu mir extrem schwer aus dem prozeduralen Muster herauszukommen - bei größeren Projekten ist das über kurz oder lang ein Todesstoß!

Und zur Passwort Verschlüsselung: Man sollte nie Plain MD5 nehmen!

[__42__]

Zitat (Ludacris: 15. Juni 2012 - 14:51)

Ad OOP und Anfänger: Ich würde JEDEM der beginnt PHP zu Programmieren empfehlen mit OOP zu arbeiten, ich selbst habe zu PHP4 Zeiten damit begonnen wo PHPOOP noch lang nicht im Gespräch war und ich tu mir extrem schwer aus dem prozeduralen Muster herauszukommen - bei größeren Projekten ist das über kurz oder lang ein Todesstoß!

Gibt genügend große Projekte die prozedural geschrieben sind und dennoch sehr gut funktionieren. Entwickler müssen eben diszipliniert arbeiten, aber das ist auch bei großen OOP-basierten Projekten unumgänglich. Ganz schlimm ist es nur wenn beides vermischt wird. Z.B. in Word-Press der Fall.

Zitat

Und zur Passwort Verschlüsselung: Man sollte nie Plain MD5 nehmen!

Man sollte nie MD5 nehmen.

Zum Code noch etwas reinkommentiert:

<?php
	class login 
	{
		private $Name, $Passwd;

		public function __construct($lname, $lpasswd) 
		{
			$this->Name = $lname;
			$this->Passwd = $lpasswd;

			return LogMeIn(); // Seit wann geben Konstruktoren was zurück?
		}

		//Setter
		private function SetSessionData($DATA) 
		{
			$_SESSION['uid'] = $DATA['uid']; // Seit wann setzen Setter globale Variablen? Und Seit wann sind sie private?
			$_SESSION['username'] = $DATA['username'];
		}

		//Getter
		//Kann für spätere Erweiterungen verwendet werden
		private function GetSessionData()
		{
			// Das macht auch nicht wirklich viel Sinn?
			$DATA = array ( 'uid' => $_SESSION['uid'],
							'username' => $_SESSION['username']
						  );
			return $DATA;
		}

		private function LogMeIn() 
		{
			$db = new Database("localhost","user","passwd");
			$log = $db->pdo->prepare("SELECT uid, username FROM users WHERE username=:uName AND passwd=:pwd");
			$log->bindValue(':uName', $this->Name);
			$log->bindValue(':pwd', md5($this->Passwd)); // md5 ist wie gesagt böse
			$log->execute();
			$DATA = $log->fetch();

			if($DATA != null)
			{
				SetSessionData($DATA);

				//Setzt den letzten Klick auf NOW()
				//Erforderlich für die Useronline Liste
				$hits = $db->SetLastHit($DATA); // unbenutzte lokale Variable
                                return true;
			}

                        return false;
		}
	}
?>

[Holger_N]

Da hab ich mal 2,5 Fragen. Also warum nicht md5 bzw. was dann? und dann verstehe ich das mit der Klasse und der Funktion nicht. Also wenn ich eine Seite mit 25 Logins habe, dann ok aber wenn ich nur ein Login habe, wie das ja so üblich ist, dann muß man doch nicht extra eine Funktion dafür schreiben.
Also nicht falsch verstehen, ich möchte es nicht kritisieren, nur verstehen.

Dieser Beitrag wurde von Holger_N bearbeitet: 15. Juni 2012 - 20:58

[__42__]

Zitat (Holger_N: 15. Juni 2012 - 20:57)

Da hab ich mal 2,5 Fragen. Also warum nicht md5 bzw. was dann? und dann verstehe ich das mit der Klasse und der Funktion nicht. Also wenn ich eine Seite mit 25 Logins habe, dann ok aber wenn ich nur ein Login habe, wie das ja so üblich ist, dann muß man doch nicht extra eine Funktion dafür schreiben.
Also nicht falsch verstehen, ich möchte es nicht kritisieren, nur verstehen.

MD5 gilt als gebrochen. Alternativen wären im SHA-Lager zu finden, RipedMD 160, Whirlpool, bcrypt.
Login als eigene Klasse zu modellieren macht wohl selten Sinn, sofern die Klasse nicht als Action-Klasse dient, was hier nicht der Fall zu sein scheint.

[Witi]

Du kannst md5 ruhig weiter verwenden, wenn du das Passwort vorher "salzt". Eine einfache Variante mittels des Benutzernamens kann bspw so aussehen:

$log = $db->pdo->prepare("SELECT uid, username FROM users WHERE username=:uName AND passwd=:pwd");
                        $log->bindValue(':uName', $this->Name);
                        $log->bindValue(':pwd', md5($this->Name.$this->Passwd));

[Holger_N]

Man kann sich doch aber fast überall, wo man sein Passwort vergessen hat, dieses per Mail zuschicken lassen. Dann muß das doch dort mindestens entschlüsselbar oder sogar unverschlüsselt gespeichert sein. Stellt das die Verschlüsselungstechnologien nicht generell in Frage?