Ir para conteúdo

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

LuanMartinsTI

Opiniões sobre essa função de login

Por , em PHP

Recommended Posts

LuanMartinsTI    0

LuanMartinsTI
Postado

Bom, uns dias atras abri um topico sobre as melhores criptografias para senha, TOPICO, então seguindo o concelho da galera, fiz usando a Bcripty, e ficou da seguinte forma a função de login

 

Aqui é a criação do objeto e a chamada da função apos o preenchimento no formulário, peguei apenas a parte necessária, já foi tudo filtrado e enviado nessa parte. 

$cliente = new Cliente($email, $senha);
$FazerLogin = new ClientePdo();   
$logou = $FazerLogin->fazer_login($cliente, $senha);  
if ($logou === true) {  
   $sessao = new Sessao();
   $sessao->carregaSessao($logou);
}else{
   echo "Verifique os dados";
}

 

Logo então é chamada a função fazer_login, então abaixo o código 

public function fazer_login($cliente, $senha){
        try{   
            if($this->validar_senha($cliente, $senha) === true){
                $query = "SELECT * FROM clientes WHERE email = :email";
                $this->Select = $this->Conn->prepare($query);
                $this->Select->BindValue(':email', $cliente->getEmail(), PDO::PARAM_STR);
                $this->Select->execute();
                if($this->Select->rowCount() == 1){
                    return $this->Select->fetch(PDO::FETCH_ASSOC);
                }else{
                    return false;
                } 
            }else{
                return "Senha Invalida!";
            }                     
        } catch (PDOException $ex) {
            exibeMensagens($Msg, $ErrNo);        
        }
    }

Logo na primeira linha da função ja existe uma outra chamada, validar_senha com o objeto e a senha enviada separadamente, e compara se o resultado é true;

então vamos ao código da função. 

private function validar_senha($cliente, $senha){
        try{
            $dados = $this->dados_usuario($cliente);
            if($dados != null){
                foreach($dados as $x){
                    $hash = $x['senha'];                    
                    if($hash != null){
                        if (crypt($senha, $hash) === $hash) {
                            return true;
                        } else {
                            return false;
                        }
                    }
                }
            }
        } catch (PDOException $ex) {
            exibeMensagens($Msg, $ErrNo); 
        }
    }

Como podem ver, eu fiz um metodo para comparar as senhas digitada e a senha registrada no banco, e depois, para pegar os dados e fazer o login eu faço ele apenas com um where no email, mas ele entra lá só se as senhas forem iguais, 

 

É a primeira vez que faço dessa forma, a pergunta é, é seguro fazer login comparando senha e email separadamente? Eu fiz varias tentativas aqui, e quando digitava senha errada, ou email errado não entrava, e quando digitava uma senha de uma outra conta tambem não, me pareceu seguro, mas conto com a opinião de vocês, pois é algo grande.

Compartilhar este post

Link para o post
Compartilhar em outros sites

Don Benatti    28

Don Benatti
Postado

  

$cliente = new Cliente($email, $senha);
$FazerLogin = new ClientePdo();   

// Repetição desnecessária de $senha
$logou = $FazerLogin->fazer_login($cliente, $senha);

Em fazer_login você passa a instancia de Cliente e em seguida senha novamente, você já passou $email e $senha para Cliente, o correto é fazer_login aceitar apenas um parâmetro 

public function fazer_login(Cliente $cliente)
{
    $senha = $cliente->obterSenha();
}

 

Dito isso, vamos para a questão da criptografia que falamos no outro post:

Primeira coisa que você precisa colocar em prática é a eliminação de dependências, desacoplando o modo como lida com a segurança do seu sistema para que ele trabalhe independente criando pacotes separados.

 

Vou te passar uma ideia de como criar um pacote relacionado a criptografia no seu sistema:

 

Vamos criar um novo projeto e dentro da pasta do projeto uma chamada crypt, pra não alongar, vou fazer um resumo para depois você continuar estudando.

Dentro da pasta crypt cria outra chamada cipher e cria uma classe PHP Crypt.php, vou adicionar apenas dois métodos essenciais.

 

Utilizaremos namespaces como security\crypt\... security será o nome da projeto e da pasta principal e crypt será um package

 

Dentro da pasta cipher, vamos criar uma interface e uma classe concreta chamada Blowfish. 

crypt/cipher/CipherInterface.php
<?php

namespace security\crypt\cipher;

interface CipherInterface
{
    /**
     * @param string|null $raw_password
     */
    public function __construct($raw_password = null);
    
    /**
     * @return string
     * @throws \InvalidArgumentException
     */
    public function crypt();
    
    /**
     * @return string
     */
    public function genSalt();
    
    /**
     * @var string $salt
     * @return void
     */
    public function setSalt($salt);
    
    /**
     * @return string
     */
    public function getSalt();
    
    /**
     * @param int $cost
     * @return void
     * @throws \InvalidArgumentException
     */
    public function setCost($cost);
    
    /**
     * @return int
     */
    public function getCost();
    
    /**
     * @param string $raw_password
     * @return void
     */
    public function setRawPassword($raw_password);
    
    /**
     * @return string
     */
    public function getRawPassword();
    
    /**
     * @param string $crypted
     * @return void
     */
    public function setCryptedPassword($crypted);
    
    /**
     * @return string
     */
    public function getCryptedPassword();
    
    /**
     * @return boolean
     */
    public function verify();
}
Agora vamos implementar nossa interface na classe a seguir

crypt/cipher/Blowfish.php
<?php

namespace security\crypt\cipher;

class Blowfish implements CipherInterface
{
    private $rawPassword = null;
    
    private $salt = null;
    
    private $cryptedPassword = null;
    
    private $cost = 10;
    
    /**
     * @param string|null $raw_password
     */
    public function __construct($raw_password = null)
    {
        $this->setRawPassword($raw_password);
    }
    
    /**
     * @return string
     */
    public function genSalt()
    {
        return $this->salt = mcrypt_create_iv(22, MCRYPT_DEV_URANDOM);
    }
    
    /**
     * @var string $salt
     * @return void
     */
    public function setSalt($salt)
    {
        $this->salt = $salt;
    }
    
    /**
     * @return string
     */
    public function getSalt()
    {
        return $this->salt;
    }
    
    /**
     * @param int $cost
     * @return void
     * @throws \InvalidArgumentException
     */
    public function setCost($cost)
    {
        if (!is_int($this->cost)) {
            throw new \InvalidArgumentException("Expected type int, got " . gettype($cost));
        }
        
        if ($this->cost < 5) {
            throw new \InvalidArgumentException("Invalid cost, min is 5!");
        }
        
        $this->cost = $cost;
    }
    
    /**
     * @return int
     */
    public function getCost()
    {
        return $this->cost;
    }
    
    /**
     * @param string $raw_password
     * @return void
     */
    public function setRawPassword($raw_password)
    {
        $this->rawPassword = $raw_password;
    }
    
    /**
     * @return string
     */
    public function getRawPassword()
    {
        return $this->rawPassword;
    }
    
    /**
     * @param string $crypted
     * @return void
     */
    public function setCryptedPassword($crypted)
    {
        $this->cryptedPassword = $crypted;
    }
    
    /**
     * @return string
     */
    public function getCryptedPassword()
    {
        return $this->cryptedPassword;
    }
    
    /**
     * @return string
     * @throws \InvalidArgumentException
     */
    public function crypt()
    {
        if ($this->rawPassword === null || (!strlen(trim($this->rawPassword)))) {
            throw new \InvalidArgumentException("Raw password is invalid!");
        }
        
        if ($this->salt === null) {
            $this->genSalt();
        }
        
        if (function_exists("password_hash")) {
            return $this->cryptedPassword = password_hash($this->rawPassword, PASSWORD_BCRYPT, [
                'cost' => $this->cost,
                'salt' => $this->salt
            ]);
        }
        else {
            $this->setSalt(strtr(base64_encode(mcrypt_create_iv(16, MCRYPT_DEV_URANDOM)), "+=", ".."));
            return $this->cryptedPassword = crypt($this->rawPassword, "$2a$" . $this->cost . "$" . $this->salt . "$");
        }
    }
    
    /**
     * @return boolean
     * @throws \UnexpectedValueException
     */
    public function verify()
    {
        if ($this->rawPassword === null || (!strlen(trim($this->rawPassword)))) {
            throw new \UnexpectedValueException("Invalid raw password!");
        }
        
        if ($this->cryptedPassword === null || (!strlen(trim($this->cryptedPassword)))) {
            throw new \UnexpectedValueException("Invalid crypted password!");
        }
        
        if (function_exists("password_verify")) {
            return password_verify($this->rawPassword, $this->cryptedPassword);
        }
        
        return (crypt($this->rawPassword, $this->cryptedPassword) === $this->cryptedPassword);
    }
}

Fiz aqui apenas um teste básico dessa implementação, escrevi ela rapidamente exclusivamente para nossa conversa sobre criptografia do outro post e desse agora, espero que seja útil para seus estudos.

 

Agora Luan, vamos criar a classe que servirá de ponte para nossos ciphers, mas não sabemos o que tem do outro lado, por isso usaremos a interface CipherInterface para eliminar dependências de um tipo de criptografia apenas, dessa maneira no futuro você poderá mudar de Blowfish para outro sem precisar refatorar seu sistema inteiro

 

crypt/Crypt.php 

<?php

namespace security\crypt;

use security\crypt\cipher\CipherInterface;

class Crypt
{
    /**
     * @var CipherInterface
     */
    private $cipher = null;
    
    /**
     * @param CipherInterface $cipher
     */
    public function __construct(CipherInterface $cipher)
    {
        $this->cipher = $cipher;
    }
    
    /**
     * @return CipherInterface
     */
    public function getCipher()
    {
        return $this->cipher;
    }
}

Depois vamos definir um tipo de criptografia por padrão para não ter que passar Blowfish o tempo todo que instanciar Crypt, mas antes por questões didáticas vamo instanciar Crypt.

 

test.php dentro da pasta security que estamos usando no exemplo e dentro dela temos o package crypt 

<?php

include "crypt/Crypt.php";
include "crypt/cipher/CipherInterface.php";
include "crypt/cipher/Blowfish.php";

use security\crypt\Crypt;
use security\crypt\cipher\Blowfish;

$password = "123";

// Instanciamos e usamos Blowfish
$crypt = new Crypt(new Blowfish($password));

/*
 * Exemplo básico
 * */
$cipher = $crypt->getCipher();

try {
    $hash = $cipher->crypt();
    
    //var_dump($hash);
    
    // Agora validando
    $cipher->setCryptedPassword($hash);
    
    var_dump($cipher->verify());
}
catch (\InvalidArgumentException $e) {
    echo $e->getMessage();
}

O PHP 7 em diante não gosta da ideia de você gerar um salt, o preferível é deixar o padrão, mas para explicar melhor aqui, vamos setar outras coisas. 

<?php
/*
 * Exemplo com mais opções
 * */
$cipher = $crypt->getCipher();

try {
    $cipher->setCost(11);
    $cipher->setSalt(/* Seu salt aqui */);
}
catch (\InvalidArgumentException $e) {
    echo $e->getMessage();
    exit(1);
}

Agora vamos deixar um tipo de criptografia padrão, para isso vamos aceitar null lá em Crypt.php

Agora o método __construct de Crypt ficou assim: 

/**
 * @param CipherInterface|null $cipher
 */
public function __construct(CipherInterface $cipher = null)
{
    if ($cipher === null) {
        $cipher = new Blowfish();
    }
    $this->cipher = $cipher;
}

Se optar pelo algoritmo padrão, terá que setar um password 

/*
 * Exemplo com um algoritmo padrao
 * */
$crypt = new Crypt();

$cipher = $crypt->getCipher();
$cipher->setRawPassword("123");

try {
    $hash = $cipher->crypt();
    
    //var_dump($hash);
    
    // Agora validando
    $cipher->setCryptedPassword($hash);
    
    var_dump($cipher->verify());
}
catch (\InvalidArgumentException $e) {
    echo $e->getMessage();
    exit(1);
}

Depois disso Luan, você poderá usar qualquer algoritmo implementando apenas CipherInterface 

class MyAlgoritm implements CipherInterface
{}

Fiz apenas alguns testes básicos aqui, apenas para colocar pra funcionar, mas acredito que didaticamente vai ser útil para seus estudos.

Compartilhar este post

Link para o post
Compartilhar em outros sites
Ir para a lista de tópicos PHP

  • Conteúdo Similar

    • landerbadi
      Consulta SQL dentro de outra consulta
      Por landerbadi
      Boa tarde pessoal. Estou tentado fazer uma consulta no banco de dados porém estou tendo dificuldades. Tenho uma tabela chamada "itens" com os seguintes campos: id, item, ativo. Nela tem cadastrado vários itens. No campo ativo eu coloco a letra "S" para informar que este item está ativo no sistema. Por exemplo: 1, casa, S 2, mesa, S 3, cama, S 4, moto S 5, rádio O quinto registro "radio" não está ativo no sistema pois não tem um "S" no campo ativo. E outra tabela chamada "produtos" com os seguintes campos (id, item1, item2, item3) com os seguintes registros: 1, casa, mesa, moto 2, mesa, casa, cama 3, rádio, cama, mesa Eu preciso fazer uma busca na tabela produtos da seguinte maneira: Eu escolho um registro na tabela "itens", por exemplo "mesa". Preciso fazer com que o php me liste todos os registros da tabela "produtos" que contenham a palavra "mesa". Até aqui tudo bem eu consigo listar. Estou fazendo assim: <?php $item = "mesa" $sql = mysqli_query($conn, "SELECT * FROM produtos WHERE item1 LIKE '$item' OR item2 LIKE '$item' OR item3 LIKE '$item' LIMIT 10"); while($aux = mysqli_fetch_assoc($sql)) { $id = $aux["id"]; $item1 = $aux["item1"]; $item2 = $aux["item2"]; $item3 = $aux["item3"]; echo $id . " - " . $item1 . ", " . $item2 . ", " $item3 . "<br>"; } ?> O problema é que está listando todos os registros que contém o item mesa. Eu preciso que o php verifique os demais item e me liste somente os registro em que todos os registros estejam ativos no sistema. No exemplo acima ele não deveria listar o registro 3. pois nesse registro contém o item "radio" e este item não está ativo no sistema. Ou seja, o registro "radio" na tabela itens não possui um "S" na coluna "ativo". Alguém sabe como resolver isso?
    • ILR master
      Ler campos com caracteres especiais no xml
      Por ILR master
      Fala galera.
      Espero que todos estejam bem.
      Seguinte: Tenho um arquivo xml onde alguns campos estão com : (dois pontos), como o exemplo abaixo:
       
      <item>
      <title>
      d sa dsad sad sadasdas
      </title>
      <link>
      dsadas dsa sad asd as dsada
      </link>
      <pubDate>sadasdasdsa as</pubDate>
      <dc:creator>
      d sad sad sa ad as das
      </dc:creator>
      </item>
       
      Meu código:
       
      $link = "noticias.xml"; 
      $xml = simplexml_load_file($link); 
      foreach($xml -> channel as $ite) {     
           $titulo = $ite -> item->title;
           $urltitulo = $ite -> item->link;
           print $urltitulo = $ite -> item->dc:creator;
      } //fim do foreach
      ?>
       
      Esse campo dc:creator eu não consigo ler. Como faço?
       
      Agradeço quem puder me ajudar.
       
      Abs
       
       
    • First
      Sistema não funciona corretamente
      Por First
      Olá a todos!
       
      Eu estou criando um sistema do zero mas estou encontnrando algumas dificuldades e não estou sabendo resolver, então vim recorrer ajuda de vocês.
      Aqui está todo o meu código: https://github.com/PauloJagata/aprendizado/
       
      Eu fiz um sistema de rotas mas só mostra o conteúdo da '/' não sei porque, quando eu tento acessar o register nada muda.
      E eu também quero que se não estiver liberado na rota mostra o erro de 404, mas quando eu tento acessar um link inválido, nada acontece.
      Alguém pode me ajudar com isso? E se tiver algumas sugestão para melhoria do código também estou aceitando.
       
       
      Desde já, obrigado.
×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.

  Aceito