[PHP][Source] Login-System mit Rechten

    • Release
    • Open Source

    Es gibt 3 Antworten in diesem Thema. Der letzte Beitrag () ist von Umbekannt.

      [PHP][Source] Login-System mit Rechten

      Hallo Community,

      da mir die lezten Tage ziemlich fad, dachte ich ich mach mal was für die allgemeinheit,
      hier ein sourecode eines login-systems mit rechte-abfrage.

      Es ist einfach nur ein Sourcecode, der zum weitermachen animieren soll.

      Code darf nach einem Beitrag zu diesem Thema frei verwendet werden!

      Falls ihr Sicherheitslücken findet, bitte ich euch diese Sofort hier bekannt zu geben, werde ich dann sofort ausbessern


      Vorschläge für besseren Code werde ich ebenfalls ausbessern



      Voraussetzungen:
      - Webserver mit MYSQL
      - Webserver mit PHP

      Quelle: Selbst programmiert



      Dateistruktur:
      - include
      - mysql_settings.php
      - class
      - class_users.php

      - login_erfolgreich.php
      - login.php
      - functions.php

      Login.php

      PHP-Quellcode

      1. <?php
      2. include ( "functions.php" );
      4. if ($_SERVER["REQUEST_METHOD"] == "POST")
      5. {
      6. if (login($_POST['txt_username'], $_POST['txt_password']))
      7. {
      8. header("location: login_erfolgreich.php");
      9. }
      10. else
      11. {
      12. echo "Login fehlgeschlagen (falscher Benutzername oder Passwort)";
      13. }
      14. }
      15. ?>
      16. <!DOCTYPE html>
      17. <html>
      18. <head>
      19. <meta charset="utf-8">
      20. <title>Demo: User/Rechte System</title>
      21. </head>
      22. <body>
      23. <form action="" method="POST">
      24. <input type="text" name="txt_username">
      25. <br />
      26. <input type="password" name="txt_password">
      27. <br />
      28. <input type="submit" value="login">
      29. </form>
      30. </body>
      31. </html>


      login_erfolgreich.php

      PHP-Quellcode

      1. <?php
      2. include ( "functions.php" );
      3. check_login();
      4. check_rights(array('1', '2', '3'));
      5. ?>
      6. <!DOCTYPE html>
      7. <html>
      8. <head>
      9. <meta charset="utf-8">
      10. <title>Demo: User/Rechte System</title>
      11. </head>
      12. <body>
      13. <h1> Du hast die nötigen Rechte um diese Seite zu besichtigen </h1>
      14. </body>
      15. </html>



      functions.php

      PHP-Quellcode

      1. <?php
      2. include( "class/class_users.php" );
      3. session_start();
      5. function login ($username, $password) {
      6. $myuser = new user;
      7. if ($myuser->_login($username, $password))
      8. {
      9. $_SESSION['user_object'] = $myuser;
      10. return true;
      11. }
      12. else
      13. {
      14. return false;
      15. }
      16. }
      18. function check_login () {
      19. if (!isset($_SESSION['user_object']))
      20. {
      21. zugriff_verweigern();
      22. }
      23. }
      25. function zugriff_verweigern() {
      26. echo "Zugriff verweigert";
      27. die;
      28. }
      30. function check_rights ($r) {
      31. if (isset($_SESSION['user_object']))
      32. {
      33. $flag = false;
      34. $user_right = $_SESSION['user_object']->getRights();
      36. foreach ($r as $rights)
      37. {
      38. if ($rights == $user_right)
      39. {
      40. $flag = true;
      41. }
      42. }
      44. if (!$flag)
      45. {
      46. zugriff_verweigern();
      47. }
      48. }
      49. else
      50. {
      51. zugriff_verweigern();
      52. }
      53. }
      54. ?>


      include/mysql_settings.php

      PHP-Quellcode

      1. <?php
      2. $db_host = "localhost";
      3. $db_user = "root";
      4. $db_pass = "";
      5. $db_name = "tsg";
      6. ?>



      class/class_users.php

      PHP-Quellcode

      1. <?php
      2. class user {
      4. private $id;
      5. private $username;
      6. private $password;
      7. private $user_rights;
      9. private $conn;
      12. public function __construct() {
      13. include ( "include/mysql_settings.php" );
      14. $this->conn = new mysqli($db_host, $db_user, $db_pass, $db_name);
      15. }
      17. private function _load ( $id ) {
      18. $query = "SELECT * FROM benutzer WHERE ID = '" . $id . "'";
      19. $result = $this->conn->query($query);
      20. if (!$result)
      21. {
      22. return false;
      23. }
      24. else
      25. {
      26. while ($row = $result->fetch_array())
      27. {
      28. $this->id = $id;
      29. $this->username = $row['username'];
      30. $this->password = $row['password'];
      31. $this->user_rights = $row['rights'];
      32. }
      34. return true;
      35. }
      36. }
      38. public function _login ($username, $password) {
      40. $u = mysqli_real_escape_string($this->conn, $username);
      41. $p = mysqli_real_escape_string($this->conn, sha1($password));
      43. $query = "SELECT * FROM benutzer WHERE username='" . $u . "' AND password = '" . $p . "'";
      44. $result = $this->conn->query($query);
      45. if (!$result)
      46. {
      47. return false;
      48. }
      49. else
      50. {
      51. if ($result->num_rows == 1)
      52. {
      53. while ($row = $result->fetch_array())
      54. {
      55. return $this->_load($row['ID']);
      56. }
      57. }
      58. else
      59. {
      60. return false;
      61. }
      62. }
      63. }
      65. public function getRights () {
      66. return $this->user_rights;
      67. }
      68. }
      69. ?>

      Wo ich gerade dieses Scripten hier sehe, möchte ich dir einige Tipps dazu auf den Weg bringen.
      In erster Linie php.net/manual/de/mysqli.prepare.php , außerdem gehören die Filterfunktionen in die Methoden, wo die Variablen
      dazu verwendet werden. D.h. auch ebenso entsprechend in die _load Methode. Letztlich muss der Sourcecode auf Wiederverwenbar sein,
      wenn man objektorientiert Programmieren möchte. Zu mal ich die Methodennamen in der Sicht besser beschreiben würde. "Load"? Ja load was?
      Die While Schleife in der Load Methode der User-Klasse kann ich nicht nachvollziehen. Du erwartest doch nur ein Ergebnis für eine entsprechende ID.
      Es wird niemals dazu kommen, dass du für eine ID sofern die Vergabe der IDs via AI erfolgt, doppelt vergeben ist.

      Daher kann man sih die kopfgesteuerte Schleife auch sparen.
      Aber auch generell würde ich die load Methode aufsplitten, in eine getBenutzer Methode und eine weitere setter für die Attribute (Wiederverwendbarkeit).

      Bzgl. der Rechteüberprüfung die Objekte in der Session zu hinterlegen find ich ja gar nicht mal so verkehrt, habe ich schon bei anderen Systemen
      wie der Online-Shop Software OXID Community/Professional und Enterprise gesehen.
      Aber das hat dort auch andere Hintergründe :)

      Was die Rechte betrifft finde ich gehören die nicht direkt an die User-Tabelle rangeklatscht als Spalte.
      Würde daraus eher mehrere Tabellen modelieren für das Rechtesystem um einfach wiederkehrende unnötige Redundanz zu vermeiden / Anomalien.
      Macht später bei größeren Tabellenschemen und wesentlich mehr Inhalten die Datenbank doch um einiges wartbarer, fällt aber auch
      mehr der CPU zu lasten, wegen ewigen joins und etc. Daher hätte ich lieber aus der Spalte für die Rechte nen Key-Value-Pair als Tabelle
      modeliert, zusätzlich dazu eine Koppeltabelle zwischen der KVP Tabelle und der Usertabelle.

      Zu mal auch irgendwie generell ein Datenbankschema von dir fehlt, womit hier sicherlich andere nicht so ganz nachvollziehen könnten, wie du dir das
      insbesondere mit dem Rechtesystem gedacht hast.

      Genauso wie die Functions.php hätte ich bei der Verwendung von Klassen auch als Klasse dargestellt. Nichts ist meiner Meinung nach schlimmer,
      als verschiedene Entwurfsmuster irgendwie ineinander zu flantschen. Wird zu viel Spaghetti Code.
      Genauso wenn man sich nach einem Schichtenmodel richtet, man Logik nicht in der Präsentationsschicht abbildet.

      Und zu guter letzt:
      php.net/basic-syntax.instruction-separation

      siehe Hinweis.

      Sonst ansich ein netter Ansatz und definitiv für einige hier in der Community hilfreich.

      Manawyrm schrieb:

      Online-Shop Software OXID


      OXID würde ich jetzt nicht als Parade-Beispiel für irgendetwas nehmen xD


      war das erste was mir dazu einfiel. Von OXID bin ich auch generell nicht all zu begeistert, insbesondere weils dazu keine Entwickler-Doku gibt für die EE Version, und man selbst als Partner mit unterschriebener NDA nichts brauchbares bekommt. Aber wie auch immer. Es war nur ein Beispiel.

    Facebook
    Telefonspende