Архитектура `access control` на PHP?

Question

[romazhan]

Нужно ограничить доступ к некоторым страницам авторизованным и неавторизованным пользователям. Не хочется в начале каждой странице делать проверку на состояние сессии. Как лучше всего сделать?

Comments

[Ипатьев]

Странно.
В предыдущих вопросах методы, интерфейсы, архитектура. И вдруг "начало каждой страницы".
Такое ощущение, что код, который вы пишете в реальности, очень далёк от тех вопросов, которые вы задаёте.

Но в общем и целом, если вы оперируете понятиями "в начале каждой страницы делать проверку на состояние сессии", то так и делать.

[romazhan]

Роман Юрьевич Ипатьев, https://github.com/polak228/Kverlit/tree/main/app

[Ипатьев]

polak228, Сорри, я не понимаю, ни что означает этот набор файлов сам по себе, ни где там "начало каждой страницы".

[Ипатьев]

Но вообще, судя по вот этому,

$user = mysqli_fetch_assoc(
            mysqli_query($this -> db -> connect(),
                "SELECT `password` FROM `users` WHERE `login` = '$login' LIMIT 1;"
            )
        );

Вам надо не архитектуру учить, а базовый синтаксис языка
Здесь в каждой строчке кода по ошибке.

Потренируйтесь сначала на кошках. Напишите класс для работы с БД, чтобы он хотя бы не выдавал ошибок при работе и в нем не было SQL инъекций хотя бы на таких примитивных запросах.
А потом уже замахивайтесь на интерфейсы.

[romazhan]

Роман Юрьевич Ипатьев, в папке templates шаблоны страниц.

'use strict';

export default {
    guest : [
        '/', '/login', '/sign-up'
    ],
    authorized : [
        '/home'
    ]
};

Написал контроль страниц вот так, но уверен, что есть более элегантный способ. На backend тоже ограничил модели по состояниям.

[romazhan]

Роман Юрьевич Ипатьев, здесь не пройдет sql injection, в функцию поступают фильтрованные данные , сначала разберитесь что к чему - советуйте, но и про какие ошибки "в каждой строчке" идёт речь? Приведите конкретно.

[Ипатьев]

polak228, "в функцию поступают фильтрованные данные" - это и есть одна из самых больших ошибок.
я конечно посмотрю, поскольку мне интересно, какой конкретно вариант говнокода у вас применён из тех что я знаю, но могу вас заверить, что ни один из них не является правильным решением.
Это не наезд, а констатация факта.

[Ипатьев]

в папке templates шаблоны страниц.

WAT? При чем здесь шаблоны? Я спрашивал, где ваши "начала страниц", а не шаблонов?
или вы собирались проверять авторизацию в шаблонах?

[romazhan]

Ипатьев, интересно будет почитать про правильное место для фильтрации данных.

[romazhan]

Ипатьев, в вопросе я не приводил пример именно моего проекта.

[Ипатьев]

polak228, оно написано на каждом заборе. "фильтрация" данных для SQL делается с помощью prepared statements. Может слышали такое слово когда-нбудь?

[Ипатьев]

в вопросе я не приводил пример именно моего проекта

Это неправда.

Не хочется в начале каждой странице делать проверку на состояние сессии.

Прямо говорит о том, что решение предназначается для вашего проекта.

[romazhan]

Ипатьев, Роман, -.

[romazhan]

Роман Юрьевич Ипатьев, куда мне ждать результаты анализов?

[romazhan]

Ипатьев, но так как нет реального кода - абстракция выступает объектом.

[Ипатьев]

всё всегда начинается с малого?

Ну так я же ровно об этом и говорю :)
Сначала надо освоить базовый синтаксис, а потом уже воспарить к абстракциям :)

[Ипатьев]

вы вот это называете фильтрацией?

protected function purify(string $string) : string {
        return trim(htmlspecialchars(addslashes($string)));
    }

Я недавно отвечал на похожий вопрос.
Там, правда, градус глупости функции сильно выше.
Но и здесь это ужас-ужас, а главное - подход один и тот же.
Мало того что оно вам портит данные (скажем, введет человек в форме имя O'Neal), а ему при ошибке вернётся в форму какой-то O-палка-'Neal, но главное - всё равно от инъекций не защищает.
Логика системы "Положим кредитную карту в сейф, оботрем его антисептиком и потом наденем на сейф маску, бронежилет и презерватив. " Ведь всё это применяется для безопасности!
А номер карты и cvv напишем на бумажке, которую прилепим к сейфу

[romazhan]

Ипатьев, здесь полностью согласен. Исправил буквально 5 минут назад.

[Ипатьев]

mysqli_real_escape_string не предназначена для защиты от инъекций. И, как следствие, далеко не всегда от них защищает

[romazhan]

Роман Юрьевич Ипатьев, а как в моём случае очищать?

[Ипатьев]

https://qna.habr.com/q/1072544#clarification_1363482

[Ипатьев]

Но смешнее всего конечно то, что ваш код будет соединяться с базой данных раз по 50 на каждой странице.
при том что должен только один.

[romazhan]

Роман Юрьевич Ипатьев, правильно ли я понимаю: тип фильтрации запроса должен зависеть от его контекста и нет универсальной функции?

[Ипатьев]

абсолютно верно

причем из этого следует, что любая фильтрация должна происходить не где-то заранее, а прямо перед использованием.

[romazhan]

Роман Юрьевич Ипатьев, понял, спасибо. Ещё хотелось бы узнать ваше мнение по поводу архитектуры проекта в целом. К сведениям, чтобы у вас вывелось представление с чем имеете дело: мне 16 лет, с PHP знаком от силы 5 месяцев и от силы 7 месяцев с web'ом в целом. Я перфекционист с неподтвержденной циклотимией и возможным ОКР, иногда могу компенсировать производительность красотой. Но можете считать это подготовленной отмазкой :3

[Ипатьев]

polak228, ну для 16 лет и 5 месяцев это конечно выглядит очень неплохо.
Но начинать лучше с азов
предлагаю начать с класса для работы с БД.
Чтобы он соединялся 1 раз за всё время и умел выполнять подготовленные запросы из переданной строки SQL и массива с значениями

[romazhan]

Роман Юрьевич Ипатьев, спасибо!