[Rumpelzahn]

Dann muß das doch dort mindestens entschlüsselbar oder sogar unverschlüsselt gespeichert sein.

stell ich mal in frage. idR ist es eher so, dass auf grund des matches eingegeben email = in db gefundene email einen md5 hash genereiert und diesen an die in der db geschriebene email sendet. darüber wird dann passwort neusetzen/zurücksetzen ermöglicht.

[Holger_N]

Zitat (Rumpelzahn: 16. Juni 2012 - 10:34)

stell ich mal in frage. idR ist es eher so, dass auf grund des matches eingegeben email = in db gefundene email einen md5 hash genereiert und diesen an die in der db geschriebene email sendet. darüber wird dann passwort neusetzen/zurücksetzen ermöglicht.

Ja manchmal kann man sein Passwort zurücksetzen aber in den meisten Fällen krieg ich mein Passwort zugeschickt.

[FenKeN]

Zitat (__42__: 15. Juni 2012 - 20:47)

Gibt genügend große Projekte die prozedural geschrieben sind und dennoch sehr gut funktionieren. Entwickler müssen eben diszipliniert arbeiten, aber das ist auch bei großen OOP-basierten Projekten unumgänglich. Ganz schlimm ist es nur wenn beides vermischt wird. Z.B. in Word-Press der Fall.


Man sollte nie MD5 nehmen.

Zum Code noch etwas reinkommentiert:

<?php
	class login 
	{
		private $Name, $Passwd;

		public function __construct($lname, $lpasswd) 
		{
			$this->Name = $lname;
			$this->Passwd = $lpasswd;

			return LogMeIn(); // Seit wann geben Konstruktoren was zurück?
		}

		//Setter
		private function SetSessionData($DATA) 
		{
			$_SESSION['uid'] = $DATA['uid']; // Seit wann setzen Setter globale Variablen? Und Seit wann sind sie private?
			$_SESSION['username'] = $DATA['username'];
		}

		//Getter
		//Kann für spätere Erweiterungen verwendet werden
		private function GetSessionData()
		{
			// Das macht auch nicht wirklich viel Sinn?
			$DATA = array ( 'uid' => $_SESSION['uid'],
							'username' => $_SESSION['username']
						  );
			return $DATA;
		}

		private function LogMeIn() 
		{
			$db = new Database("localhost","user","passwd");
			$log = $db->pdo->prepare("SELECT uid, username FROM users WHERE username=:uName AND passwd=:pwd");
			$log->bindValue(':uName', $this->Name);
			$log->bindValue(':pwd', md5($this->Passwd)); // md5 ist wie gesagt böse
			$log->execute();
			$DATA = $log->fetch();

			if($DATA != null)
			{
				SetSessionData($DATA);

				//Setzt den letzten Klick auf NOW()
				//Erforderlich für die Useronline Liste
				$hits = $db->SetLastHit($DATA); // unbenutzte lokale Variable
                                return true;
			}

                        return false;
		}
	}
?>

Das ganze hab ich einfach nur Setter genannt, weil ich mir dort meine Sessionvariablen erzeugen will.
$hits kann man wohl weglassen, solang $db->SetLastHit($DATA); vorhanden bleibt, das stimmt.
return LogMeIn(); im Konstruktor war ein Denkfehler von mir.

Aber warum sollte es keinen Sinn machen, ein Loginsystem als eigene Klasse zu machen?
new Login("Username","passwort"); und den Rest macht meine Klasse dahinter..
Heißt weniger Code in den Htmldateien..

Also meiner Meinung nach..

[__42__]

Zitat (Witi: 16. Juni 2012 - 09:58)

Du kannst md5 ruhig weiter verwenden, wenn du das Passwort vorher "salzt". Eine einfache Variante mittels des Benutzernamens kann bspw so aussehen:

$log = $db->pdo->prepare("SELECT uid, username FROM users WHERE username=:uName AND passwd=:pwd");
                        $log->bindValue(':uName', $this->Name);
                        $log->bindValue(':pwd', md5($this->Name.$this->Passwd));

Es gibt aber nicht wirklich einen Grund wieso man einen Algorithmus verwenden sollte, der nicht mehr wirklich ungebrochen ist, wenn ohne erkennbaren Mehraufwand welche zur Verfügung stehen bei denen das nicht der Fall ist. Ausserdem sollten Salts hinreichend lang sein, das würde ich beim Benutzernamen nicht unbedingt vorraussetzen.

[FenKeN]

Aber warum sollte es keinen Sinn machen, ein Loginsystem als eigene Klasse zu machen?
new Login("Username","passwort"); und den Rest macht meine Klasse dahinter..
Heißt weniger Code in den Htmldateien..

Also meiner Meinung nach..

[der dom]

Ist doch auch ganz gut falls man mal andere Projekte hat. Ich hätte keine Lust ständig das Login System zu schreiben. Dann lieber eine eigene Klasse mit den Funktionen.

Was MD5 angeht, Salted geht´s, SHA wäre allerdings schöner.

Ich schau mir die ganze Sache auch nochmal an sobald ich daheim bin. Sieht in jedemfall sehr interessant aus.

[FenKeN]

Damits läuft brauchst du aufjedenfall noch meine database Klasse, da ich dort meine Abfragen schalte.
Ausser du schreibst es etwas um, um deine zu integrieren

Bin für Feedback immer offen!

[__42__]

Zitat (Kaputtnik: 18. Juni 2012 - 09:19)

Ist doch auch ganz gut falls man mal andere Projekte hat. Ich hätte keine Lust ständig das Login System zu schreiben. Dann lieber eine eigene Klasse mit den Funktionen.

Code wieder zu verwenden macht ja Sinn, aber wozu eine eigene Klasse schreiben wie sie oben steht, wenn diese:
a) Keine öffentlichen Methoden sondern nur einen Konstruktor hat
b) Mehrere Objekte absolut keinen Sinn machen

z.B.

new Login('a', 'b');
new Login('a', 'c');
new Login('d', 'e');

braucht keiner.

Also macht Singleton ein Singleton Pattern mit öffentlichen Methoden mehr Sinn (vgl. Zend: http://framework.zen...troduction.html) oder man legt das ganze gleich als Action-Handler aus der sich auch um den Fehlerfall selber kümmert.

Oder man streicht den ganzen Code vor LogMeIn weg und belässt es bei einer Funktion. Die funktioniert dann immerhin richtig (return false)...

Gibt noch genügend andere Möglichkeiten, aber so wie es oben steht ist es jedenfalls fehlerbehaftet und eher ein Missbrauch von OOP als eine sinnvolle Anwendung.

Dieser Beitrag wurde von __42__ bearbeitet: 18. Juni 2012 - 14:24

[der dom]

Verbesserungswürdig ist es gewiss. Der Grundgedanke an sich ist allerdings schon gut - wie gesagt, wenn es denn funktioniert - ich kann´s im Moment nicht testen - und sauber ist, dann kann man da schon einiges mit machen - meine Meinung.

Natürlich gebe ich dir recht, dass es auch weitestgehend Fehlerfrei sein sollte - und nicht voll von Code den niemand braucht.

[FenKeN]

Das ganze baut ja auch eher auf andere Features von mir auf, die ich später mal verwenden will. Für diesen Fall hab ich auch nur das relevanteste gepostet.

[Holger_N]

Zitat (CryztaN: 18. Juni 2012 - 05:56)

Aber warum sollte es keinen Sinn machen, ein Loginsystem als eigene Klasse zu machen?
new Login("Username","passwort"); und den Rest macht meine Klasse dahinter..
Heißt weniger Code in den Htmldateien..

Also meiner Meinung nach..

Bildlicher Vergleich: Stell dir vor, du malst eine Blume auf ein Stück Pappe, schneidest sie aus und hast eine Schablone mit der du die Blume mehrfach an die Wand malen kannst - macht Sinn. Es macht aber nicht wirklich Sinn, wenn du die Blume nur einmal an der Wand haben willst. Dann hättest du die Blume statt auf die Pappe gleich an die Wand malen können. So sehe ich das mit Programmteilen, die im Projekt nur an einer Stelle stattfinden.
(Ist aber nur meine Meinung)

[FenKeN]

Und so kann ich die Klasse in jedem weiterem Projekt verwenden und muss das Rad nicht neu erfinden.
meine aktion.php würde nach dem login quasi nur :

include("loginsystem.class.php"); $login = new Login("username","pass");

Beinhalten und schon würds funktionieren.

[Holger_N]

Zitat (CryztaN: 18. Juni 2012 - 17:22)

Und so kann ich die Klasse in jedem weiterem Projekt verwenden und muss das Rad nicht neu erfinden.
meine aktion.php würde nach dem login quasi nur :

include("loginsystem.class.php"); $login = new Login("username","pass");

Beinhalten und schon würds funktionieren.

Ja klar aber du kannst doch deinen Loginvorgang auch so in eine extra Datei auslagern und mußt ihn dann nur kurz includieren. Das ist doch der selbe Aufwand. Das hat ja nichts damit zu tun, dass an dieser Stelle (für mein Verständnis) keine Klasse notwendig ist.

[__42__]

Zitat (CryztaN: 18. Juni 2012 - 17:22)

Und so kann ich die Klasse in jedem weiterem Projekt verwenden und muss das Rad nicht neu erfinden.
meine aktion.php würde nach dem login quasi nur :

include("loginsystem.class.php"); $login = new Login("username","pass");

Beinhalten und schon würds funktionieren.

Funktioniert bei allen anderen Lösungen genau so. Wie dem auch sei: Ich würde mir angewöhnen Dateien so zu benennen wie die Klassen. loginsystem <> Login

[FenKeN]

Hab ich auch
Habs nur hier grad perhand getippt, deshalb auch kein Zeilenumbruch