нужна ваша критика и помощь начинающему
пикрил.
Есть траблы с аутинтификацией
>if(password_verify($password, $hash))
echo 'Пароль правильный.';
else
echo 'Пароль неправильный.';
Ыыы на страницу входа?
я знаю,что для проверки.
Но какое место в коде.
Я провозился с разными подходами,но эта тварь считает,что любые данные норм
А что должно быть не норм?
Чем занимаешься? Работаешь/вкатываешься?
Так это получается ты проверяешь хешируется ли пароль вообще, а не проверяешь с хешем из базы для данного пользователя
то есть что я его поначалу запихал в первый 1 верно?
Ну по идее ты должен брать хеш введённого пользователем пароля и сравнивать его с полученным из базы
Полученным из базы для конкретного пользователя по иным данным
Download Master нормально работает?
норм,но чет на видео авто начало тупить
Пиздец, ты долбоеб? Не пиши аутентификацию, если только не просто так ради развлечения, не в реальный проект.
Юзай фрэймворки. Потому что сейчас ты хранишь пароли в чистом виде, за это убивают нахуй.
Валидация тоже дегенеративная, очень неудобно будет менеджить. Говно короче, читай как фрэймворки делают.
так соль только для PASSWORD_BCRYPT:
не?
бля,я только начал вкатываться во всю эту тему
Эх, а если ещё фронтэнд фреймворки, так вообще сайты можно писать десятилетиями
>ты хранишь пароли в чистом виде, за это убивают нахуй.
Всем похуй. Вообще.
Тащемта можно и на ванильной сделать грамотную аутентификацию, прост он вкатывальщик. А так тоже рекомендую юзать фреймворк
Кто? помощник санты ?
Я же написал, посмотри как сделали фрэймворки.
Почитай что такое сессии, что такое JWT.
Хэшируй пароль перед записью в базу данных.
С учётом вышесказанных замечаний, сделай поисковый массив для разрешенных действий в момент авторизации, вынеси в отдельный класс все что связано с бд, и коннекшн к бд соответственно можно сделать родительским для предыдущего. сделай хотя бы так и подумай над тем, что можно добавить или убрать, csrf протекшн там и т.д
Судя по коду он еще не знает за ООП. Либо не использует по какой-то другой причине.
хотелось бы понять суть,как это работает на PDO для начала
насколько я понял,нужно результат селекта запихать в массивы?
>>237529792
я ОПП знаю на простом уровне-прайваты,конструкторы и пр
Функциональное программирование гораздо лучше подходит для подобных задач.
Я ответил на пост, в котором рекомендовали использовать классы. Что ОП классов еще не знает.
А насчет функциональщины -- похуй вообще, вкатывальщику рано еще голову ебать, пусть играется с императивностью. Заебется в такой таске как авторизация (с кучей сайдэффектов по определению) притаскивать функциональный подход.
Страшно, что твоё место займут?
Скинь примеры в декларативном стиле, интересно стало
А ```try {``` у тебя закроется где-нить когда-нить?
PSR-12 выдрочи для начала, потом поговорим.
Лучше генерируй пароль сам и отсылай на почту
> xampp
Ты по туториалам какого года учишься?
Да вроде норм, надо только пустой ответ от базы отлавливать тоже
не идет,я где херню спорол
>>237531331
из пхп треда.Хотя есть виртуалка с линуксом
Перед записью пароля в базу оборачивай в функцию md5 несколько раз и перед чтением от пользователя тоже вначале оборачиваешь его данные в эту функцию потом проверяешь есть ли такой пароль в базе
нахуя делать trim на password? а если я хочу пароль, который начинается с пробела? какого хуя ты за меня решаешь, а?
md5 вроде не советуют исп,а аргон
Даже несколько раз мд5 уже не спасёт
Нужны другие
Я тебя за это выебу и твой директор мне за это заплатит деньги
мимо ИБ
В фейсбуке хранят в чистом виде и нормально
но все равно это оливье
если ввести левые данные,то он покажет просто пустую строку
мимосисадмин
Блять, как люди вообще кодят без intellisense и многовкладочных peek definition прямо в коде.
что это?
это нужно для примитивного кода?
https://youtu.be/49Nsv9jSAv0
Чтобы клацнуть по чему угодно и прямо тут же подкрутить по месту, а не по всем окнам посох знает где прыгать как блоха.
Я вообще пишу код в nano, лул
генерация cookie_key выглядит небезопасной, в том смысле, что ее можно подобрать брутфорсом
а так норм код для пхпшника и тем более для одмина
Пайтоновский бы даже не запустился из-за смешения пробелов и табов
Оп, ты? Вкатываешься? По какому курсу?
Я.
начинал с обычных статей для тупиц,читал пару англо книг,чтобы знать какие там темы,все остальное гуглил.
тот еще гемморой,тк не все статьи доходчиво объясняют.
вот щас тема ПДО гемморой для меня
неделя ушла на БД
ну и пхп тред,но там отвечают,если сеньорам не влом будет
Сколько уже вкатываешься? Или ты работаешь уже?
Так всё просто: в питоновских скриптах их и не надо смешивать же!
1 мес,но по немногу
Самый уёбищный код, который я только видел. Тебе не стоит этим заниматься
ну а хули хотел от самостоятельного обучения?
Ну, я знаю так-то, что на похапе есть много способов более безопасно сгенерить случайную строку, но подумал, что если ресурс доступен только в локалке то <-- пикрл. Или зря я так?
ты ещё мой не видел! >>237535237
>echo "пошёл на хуй"
>exit
Не программист, но хуя ты суровый
да норм конечно, просто неаккуратненько
так как решить проблему
чтобы если неверные данные,он не выводил пустую страницу
Зачем ты хешируешь введенный пользователем пароль, если в базе хранишь его в чистом виде?
При регистрации, то есть сохранении данных нового пользователя пароль должен быть зашифрованным.
$password = sha1($_POST['password']); //1afa148eb41f2e710
То есть, пользователь ввел при регистрации пароль "123456", твой скрипт регистрации его должен зашифровать и так сохранить.
Когда пользователь будет авторизовываться, скрипт должен тем же алгоритмом зашифровать пароль из формы авторизации и сделать выборку по паре "email" и "password":
$email = $_POST['email'];
$password = sha1($_POST['password']);
if(login($email, $password)) {
echo 'Пароль правильный.';
}else{
echo 'Пароль неправильный.';
}
function login(string $email, string $password) {
$pdo = new PDO("mysql:host=localhost;dbname=db", "user", "1234");
$stmt = $pdo->prepare("SELECT * FROM users WHERE email = :email AND password = :password");
$stmt->execute(['email' => $email, 'password' => $password]);
$user = $stmt->fetchAll();
if($user) {
return true;
}
return false;
}
Ну, ты понял, короче.
Я делаю примерно так, всё работает. А зачем вообще этот PDO и почему нельзя использовать, например, ODBC?
кого?
так mysqli признан устаревшим и ненадежным подходом
Кем признан? Почему?
везде пишут
что типа он дырявый для инъекций
Так ведь нужно всегда проверять и фильтровать пользовательский ввод.
Ну а если в качестве пароля вот сюда >>237530862
передать:
> fuckyou' UNION 'select * FROM users
он разве не высрется радостно всеми паролями пользователей, лол?
но там же в основном абстракции