Ir para conteúdo

POWERED BY:

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

LuanMartinsTI

Opiniões sobre essa função de login

Por , em PHP

Recommended Posts

LuanMartinsTI    0

LuanMartinsTI
Postado

Bom, uns dias atras abri um topico sobre as melhores criptografias para senha, TOPICO, então seguindo o concelho da galera, fiz usando a Bcripty, e ficou da seguinte forma a função de login

 

Aqui é a criação do objeto e a chamada da função apos o preenchimento no formulário, peguei apenas a parte necessária, já foi tudo filtrado e enviado nessa parte. 

$cliente = new Cliente($email, $senha);
$FazerLogin = new ClientePdo();   
$logou = $FazerLogin->fazer_login($cliente, $senha);  
if ($logou === true) {  
   $sessao = new Sessao();
   $sessao->carregaSessao($logou);
}else{
   echo "Verifique os dados";
}

 

Logo então é chamada a função fazer_login, então abaixo o código 

public function fazer_login($cliente, $senha){
        try{   
            if($this->validar_senha($cliente, $senha) === true){
                $query = "SELECT * FROM clientes WHERE email = :email";
                $this->Select = $this->Conn->prepare($query);
                $this->Select->BindValue(':email', $cliente->getEmail(), PDO::PARAM_STR);
                $this->Select->execute();
                if($this->Select->rowCount() == 1){
                    return $this->Select->fetch(PDO::FETCH_ASSOC);
                }else{
                    return false;
                } 
            }else{
                return "Senha Invalida!";
            }                     
        } catch (PDOException $ex) {
            exibeMensagens($Msg, $ErrNo);        
        }
    }

Logo na primeira linha da função ja existe uma outra chamada, validar_senha com o objeto e a senha enviada separadamente, e compara se o resultado é true;

então vamos ao código da função. 

private function validar_senha($cliente, $senha){
        try{
            $dados = $this->dados_usuario($cliente);
            if($dados != null){
                foreach($dados as $x){
                    $hash = $x['senha'];                    
                    if($hash != null){
                        if (crypt($senha, $hash) === $hash) {
                            return true;
                        } else {
                            return false;
                        }
                    }
                }
            }
        } catch (PDOException $ex) {
            exibeMensagens($Msg, $ErrNo); 
        }
    }

Como podem ver, eu fiz um metodo para comparar as senhas digitada e a senha registrada no banco, e depois, para pegar os dados e fazer o login eu faço ele apenas com um where no email, mas ele entra lá só se as senhas forem iguais, 

 

É a primeira vez que faço dessa forma, a pergunta é, é seguro fazer login comparando senha e email separadamente? Eu fiz varias tentativas aqui, e quando digitava senha errada, ou email errado não entrava, e quando digitava uma senha de uma outra conta tambem não, me pareceu seguro, mas conto com a opinião de vocês, pois é algo grande.

Compartilhar este post

Link para o post
Compartilhar em outros sites

Don Benatti    28

Don Benatti
Postado

  

$cliente = new Cliente($email, $senha);
$FazerLogin = new ClientePdo();   

// Repetição desnecessária de $senha
$logou = $FazerLogin->fazer_login($cliente, $senha);

Em fazer_login você passa a instancia de Cliente e em seguida senha novamente, você já passou $email e $senha para Cliente, o correto é fazer_login aceitar apenas um parâmetro 

public function fazer_login(Cliente $cliente)
{
    $senha = $cliente->obterSenha();
}

 

Dito isso, vamos para a questão da criptografia que falamos no outro post:

Primeira coisa que você precisa colocar em prática é a eliminação de dependências, desacoplando o modo como lida com a segurança do seu sistema para que ele trabalhe independente criando pacotes separados.

 

Vou te passar uma ideia de como criar um pacote relacionado a criptografia no seu sistema:

 

Vamos criar um novo projeto e dentro da pasta do projeto uma chamada crypt, pra não alongar, vou fazer um resumo para depois você continuar estudando.

Dentro da pasta crypt cria outra chamada cipher e cria uma classe PHP Crypt.php, vou adicionar apenas dois métodos essenciais.

 

Utilizaremos namespaces como security\crypt\... security será o nome da projeto e da pasta principal e crypt será um package

 

Dentro da pasta cipher, vamos criar uma interface e uma classe concreta chamada Blowfish. 

crypt/cipher/CipherInterface.php
<?php

namespace security\crypt\cipher;

interface CipherInterface
{
    /**
     * @param string|null $raw_password
     */
    public function __construct($raw_password = null);
    
    /**
     * @return string
     * @throws \InvalidArgumentException
     */
    public function crypt();
    
    /**
     * @return string
     */
    public function genSalt();
    
    /**
     * @var string $salt
     * @return void
     */
    public function setSalt($salt);
    
    /**
     * @return string
     */
    public function getSalt();
    
    /**
     * @param int $cost
     * @return void
     * @throws \InvalidArgumentException
     */
    public function setCost($cost);
    
    /**
     * @return int
     */
    public function getCost();
    
    /**
     * @param string $raw_password
     * @return void
     */
    public function setRawPassword($raw_password);
    
    /**
     * @return string
     */
    public function getRawPassword();
    
    /**
     * @param string $crypted
     * @return void
     */
    public function setCryptedPassword($crypted);
    
    /**
     * @return string
     */
    public function getCryptedPassword();
    
    /**
     * @return boolean
     */
    public function verify();
}
Agora vamos implementar nossa interface na classe a seguir

crypt/cipher/Blowfish.php
<?php

namespace security\crypt\cipher;

class Blowfish implements CipherInterface
{
    private $rawPassword = null;
    
    private $salt = null;
    
    private $cryptedPassword = null;
    
    private $cost = 10;
    
    /**
     * @param string|null $raw_password
     */
    public function __construct($raw_password = null)
    {
        $this->setRawPassword($raw_password);
    }
    
    /**
     * @return string
     */
    public function genSalt()
    {
        return $this->salt = mcrypt_create_iv(22, MCRYPT_DEV_URANDOM);
    }
    
    /**
     * @var string $salt
     * @return void
     */
    public function setSalt($salt)
    {
        $this->salt = $salt;
    }
    
    /**
     * @return string
     */
    public function getSalt()
    {
        return $this->salt;
    }
    
    /**
     * @param int $cost
     * @return void
     * @throws \InvalidArgumentException
     */
    public function setCost($cost)
    {
        if (!is_int($this->cost)) {
            throw new \InvalidArgumentException("Expected type int, got " . gettype($cost));
        }
        
        if ($this->cost < 5) {
            throw new \InvalidArgumentException("Invalid cost, min is 5!");
        }
        
        $this->cost = $cost;
    }
    
    /**
     * @return int
     */
    public function getCost()
    {
        return $this->cost;
    }
    
    /**
     * @param string $raw_password
     * @return void
     */
    public function setRawPassword($raw_password)
    {
        $this->rawPassword = $raw_password;
    }
    
    /**
     * @return string
     */
    public function getRawPassword()
    {
        return $this->rawPassword;
    }
    
    /**
     * @param string $crypted
     * @return void
     */
    public function setCryptedPassword($crypted)
    {
        $this->cryptedPassword = $crypted;
    }
    
    /**
     * @return string
     */
    public function getCryptedPassword()
    {
        return $this->cryptedPassword;
    }
    
    /**
     * @return string
     * @throws \InvalidArgumentException
     */
    public function crypt()
    {
        if ($this->rawPassword === null || (!strlen(trim($this->rawPassword)))) {
            throw new \InvalidArgumentException("Raw password is invalid!");
        }
        
        if ($this->salt === null) {
            $this->genSalt();
        }
        
        if (function_exists("password_hash")) {
            return $this->cryptedPassword = password_hash($this->rawPassword, PASSWORD_BCRYPT, [
                'cost' => $this->cost,
                'salt' => $this->salt
            ]);
        }
        else {
            $this->setSalt(strtr(base64_encode(mcrypt_create_iv(16, MCRYPT_DEV_URANDOM)), "+=", ".."));
            return $this->cryptedPassword = crypt($this->rawPassword, "$2a$" . $this->cost . "$" . $this->salt . "$");
        }
    }
    
    /**
     * @return boolean
     * @throws \UnexpectedValueException
     */
    public function verify()
    {
        if ($this->rawPassword === null || (!strlen(trim($this->rawPassword)))) {
            throw new \UnexpectedValueException("Invalid raw password!");
        }
        
        if ($this->cryptedPassword === null || (!strlen(trim($this->cryptedPassword)))) {
            throw new \UnexpectedValueException("Invalid crypted password!");
        }
        
        if (function_exists("password_verify")) {
            return password_verify($this->rawPassword, $this->cryptedPassword);
        }
        
        return (crypt($this->rawPassword, $this->cryptedPassword) === $this->cryptedPassword);
    }
}

Fiz aqui apenas um teste básico dessa implementação, escrevi ela rapidamente exclusivamente para nossa conversa sobre criptografia do outro post e desse agora, espero que seja útil para seus estudos.

 

Agora Luan, vamos criar a classe que servirá de ponte para nossos ciphers, mas não sabemos o que tem do outro lado, por isso usaremos a interface CipherInterface para eliminar dependências de um tipo de criptografia apenas, dessa maneira no futuro você poderá mudar de Blowfish para outro sem precisar refatorar seu sistema inteiro

 

crypt/Crypt.php 

<?php

namespace security\crypt;

use security\crypt\cipher\CipherInterface;

class Crypt
{
    /**
     * @var CipherInterface
     */
    private $cipher = null;
    
    /**
     * @param CipherInterface $cipher
     */
    public function __construct(CipherInterface $cipher)
    {
        $this->cipher = $cipher;
    }
    
    /**
     * @return CipherInterface
     */
    public function getCipher()
    {
        return $this->cipher;
    }
}

Depois vamos definir um tipo de criptografia por padrão para não ter que passar Blowfish o tempo todo que instanciar Crypt, mas antes por questões didáticas vamo instanciar Crypt.

 

test.php dentro da pasta security que estamos usando no exemplo e dentro dela temos o package crypt 

<?php

include "crypt/Crypt.php";
include "crypt/cipher/CipherInterface.php";
include "crypt/cipher/Blowfish.php";

use security\crypt\Crypt;
use security\crypt\cipher\Blowfish;

$password = "123";

// Instanciamos e usamos Blowfish
$crypt = new Crypt(new Blowfish($password));

/*
 * Exemplo básico
 * */
$cipher = $crypt->getCipher();

try {
    $hash = $cipher->crypt();
    
    //var_dump($hash);
    
    // Agora validando
    $cipher->setCryptedPassword($hash);
    
    var_dump($cipher->verify());
}
catch (\InvalidArgumentException $e) {
    echo $e->getMessage();
}

O PHP 7 em diante não gosta da ideia de você gerar um salt, o preferível é deixar o padrão, mas para explicar melhor aqui, vamos setar outras coisas. 

<?php
/*
 * Exemplo com mais opções
 * */
$cipher = $crypt->getCipher();

try {
    $cipher->setCost(11);
    $cipher->setSalt(/* Seu salt aqui */);
}
catch (\InvalidArgumentException $e) {
    echo $e->getMessage();
    exit(1);
}

Agora vamos deixar um tipo de criptografia padrão, para isso vamos aceitar null lá em Crypt.php

Agora o método __construct de Crypt ficou assim: 

/**
 * @param CipherInterface|null $cipher
 */
public function __construct(CipherInterface $cipher = null)
{
    if ($cipher === null) {
        $cipher = new Blowfish();
    }
    $this->cipher = $cipher;
}

Se optar pelo algoritmo padrão, terá que setar um password 

/*
 * Exemplo com um algoritmo padrao
 * */
$crypt = new Crypt();

$cipher = $crypt->getCipher();
$cipher->setRawPassword("123");

try {
    $hash = $cipher->crypt();
    
    //var_dump($hash);
    
    // Agora validando
    $cipher->setCryptedPassword($hash);
    
    var_dump($cipher->verify());
}
catch (\InvalidArgumentException $e) {
    echo $e->getMessage();
    exit(1);
}

Depois disso Luan, você poderá usar qualquer algoritmo implementando apenas CipherInterface 

class MyAlgoritm implements CipherInterface
{}

Fiz apenas alguns testes básicos aqui, apenas para colocar pra funcionar, mas acredito que didaticamente vai ser útil para seus estudos.

Compartilhar este post

Link para o post
Compartilhar em outros sites
Ir para a lista de tópicos PHP

  • Conteúdo Similar

    • violin101
      PHP+Codeginiter - Orientação para Impressão
      Por violin101
      Caros amigos, saudações.
       
      Por favor, me permita tirar uma dúvida com os amigos.

      Tenho um Formulário onde o Usuário digita todos os Dados necessários.

      Minha dúvida:
      --> como faço após o usuário digitar os dados e salvar, o Sistema chamar uma Modal ou mensagem perguntando se deseja imprimir agora ?

      Grato,
       
      Cesar
    • Carcleo
      Ajuda com Extends e envio para o banco
      Por Carcleo
      Tenho uma abela de usuarios e uma tabela de administradores e clientes.
      Gostaria de uma ajuda para implementar um cadastro
       
      users -> name, login, passord (pronta) admins -> user_id, registratiom, etc.. client -> user_id, registratiom, etc...
      Queria ajuda para extender de user as classes Admin e Client
      Olhem como estáAdmin
      <?php namespace App\Models; use Illuminate\Database\Eloquent\Factories\HasFactory; use Illuminate\Database\Eloquent\Model; class Admin extends User {     use HasFactory;            protected $fillable = [         'name',         'email',         'password',         'registration'     ];      private string $registration;     public function create(         string $name,          string $email,          string $password,         string $registration     )     {         //parent::create(['name'=>$name, 'email'=>$email, 'password'=>$password]);         parent::$name = $name;         parent::$email = $email;         parent::$password = $password;         $this->registration = $registration;     } } User
      <?php namespace App\Models; // use Illuminate\Contracts\Auth\MustVerifyEmail; use Illuminate\Database\Eloquent\Factories\HasFactory; use Illuminate\Foundation\Auth\User as Authenticatable; use Illuminate\Notifications\Notifiable; use Illuminate\Database\Eloquent\Relations\BelongsToMany; class User extends Authenticatable {     /** @use HasFactory<\Database\Factories\UserFactory> */     use HasFactory, Notifiable;     static string $name;     static string $email;     static string $password;     /**      * The attributes that are mass assignable.      *      * @var list<string>      */     protected $fillable = [         'name',         'email',         'password',     ];          /**      * The attributes that should be hidden for serialization.      *      * @var list<string>      */     protected $hidden = [         'remember_token',     ];     /**      * Get the attributes that should be cast.      *      * @return array<string, string>      */     protected function casts(): array     {         return [             'email_verified_at' => 'datetime',             'password' => 'hashed',         ];     }          public function roles() : BelongsToMany {         return $this->belongsToMany(Role::class);     }       public function hasHole(Array $roleName): bool     {                 foreach ($this->roles as $role) {             if ($role->name === $roleName) {                 return true;             }         }         return false;     }         public function hasHoles(Array $rolesName): bool     {                 foreach ($this->roles as $role) {             foreach ($rolesName as $rolee) {             if ($role->name === $rolee) {                 return true;             }          }         }         return false;     }         public function hasAbility(string $ability): bool     {         foreach ($this->roles as $role) {             if ($role->abilities->contains('name', $ability)) {                 return true;             }         }         return false;     }     } Como gravar um Admin na tabela admins sendo que ele é um User por extensão?
      Tentei assim mas é claro que está errado...
      public function store(Request $request, Admin $adminModel) {         $dados = $request->validate([             "name" => "required",             "email" => "required|email",             "password" => "required",             "registration" => "required"         ]);         $dados["password"] =  Hash::make($dados["password"]);                  $admin = Admin::where("registration",  $dados["registration"])->first();                  if ($admin)              return                    redirect()->route("admin.new")                             ->withErrors([                                 'fail' => 'Administrador já cadastrados<br>, favor verificar!'                   ]);                            $newAdmin = $adminModel->create(                                    $dados['name'],                                    $dados['email'],                                    $dados['password'],                                    $dados['registration']                                 );         dd($newAdmin);         $adminModel->save();         //$adminModel::create($admin);                  return redirect()->route("admin.new")->with("success",'Cadastrado com sucesso');     }  
    • violin101
      PHP+Codeigniter - Dúvida referente a PDV
      Por violin101
      Caros amigos, saudações.
       
      Gostaria de tirar uma dúvida com os amigos, referente a PDV.
       
      Estou escrevendo um Sistema com Ponto de Vendas, a minha dúvida é o seguinte, referente ao procedimento mais correto.

      Conforme o caixa vai efetuando a venda, o Sistema de PDV já realiza:
      a baixa direto dos produtos no estoque
      ou
      somente após concretizar a venda o sistema baixa os produtos do estoque ?
       
      Grato,
       
      Cesar
       
    • violin101
      PHP+Codeigniter - Dúvida em Relação a Teclas
      Por violin101
      Caros amigos do grupo, saudações e um feliz 2025.
       
      Estou com uma pequena dúvida referente a Teclas de Atalho.

      Quando o Caps Lock está ativado o Comando da Tecla de Atalho não funciona.
      ou seja:
      se estiver para letra minúscula ====> funciona
      se estiver para letra maiúscula ====> não funciona
       
      Como consigo evitar essa falha, tanto para Letra Maiúscula quanto Minúscula ?

      o Código está assim:
      document.addEventListener( 'keydown', evt => { if (!evt.ctrlKey || evt.key !== 'r' ) return;// Não é Ctrl+r, portanto interrompemos o script evt.preventDefault(); });  
      Grato,
       
      Cesar
    • ILR master
      Conexão mysql com outro domínio
      Por ILR master
      Fala galera, tudo certo?
       
      Seguinte: No servidor A estou tentando fazer uma consulta com o servidor B, mas está dando erro.
      Estou usando o mesmo código de conexão do servidor B que funciona perfeitamente, mas no servidor A, dá erro.
      Segue código:
       
      $host = 'servidor B';
      $user = 'user';
      $pass = '********';
      $db   = 'banco';
       
      // conexão e seleção do banco de dados
      $conexao = mysqlI_connect($host, $user, $pass, $db);
      mysqlI_set_charset($conexao,"utf8");
      //print "Conexão rodando e OK!"; 
      //mysqlI_close($conexao);
       
      Alguém pode me ajudar?
×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.

  Aceito