Как переделать авторизацию пользователей?

Question

[Сергей]

Здравствуйте имеется авторизация без mysql логин и пароль храниться в константах. Как мне переделать, что бы логин и пароль брать из бд. Структура и подключение к бд есть. Помогите не опытному.

Вот код авторизации php:

function isAdmin($login = false, $password = false) {
		if (!$login) $login = isset($_SESSION["login"])? $_SESSION["login"] : false;
		if (!$password) $password = isset($_SESSION["password"])? $_SESSION["password"] : false;
		return mb_strtolower($login) === mb_strtolower(ADM_LOGIN) && $password === ADM_PASSWORD;
	}
	
	function login($login, $password) {
		$password = hashSecret($password);
		if (isAdmin($login, $password)) {
			$_SESSION["login"] = $login;
			$_SESSION["password"] = $password;
			return true;
		}
		return false;
	}

Answer 1

[noeer]

В общем случае как-то так

function isAdmin($login = false, $password = false) {
	global $pdo;
	$stmt = $pdo->prepare('SELECT * FROM `users` WHERE `login` = :login AND `password` = :password');
	$stmt->execute(array(
		':login' => $login,
		':password' => $password,
	));
	if($stmt->rowCount() == 1) {
		return true;
	}
	return false;
}

Comments

[ThunderCat]

Жеесть...

Answer 2

[ThunderCat]

1) нельзя хранить пароли в открытом виде, используйте password_hash()
2) Для хеширования паролей хорошей практикой считается предварительно "соленые" значения
3) для проверки используйте password_verify(), алгоритм простой и легко гуглится, например вот здесь есть одна из реализаций

Comments

[noeer]

Да какое хеширование...
Там, я так понимаю, авторизация нужна только для одного админа

Здравствуйте имеется авторизация без mysql логин и пароль храниться в константах.

Если кто-то получит доступ к БД, то ему уже этот пароль будет просто не интересен.

[ThunderCat]

noeer, какая разница? Делаешь что-то - делай хорошо, или иди улицу подметай. Делать хорошо даже в мелочах - признак хорошего специалиста, не хотите расти как спец - ну продолжайте говнокодить утешаясь тем что "это же просто ****, зачем делать нормально?".

Если кто-то получит доступ к БД, то ему уже этот пароль будет просто не интересен.

На чем основано такое заявление? Есть какие-то аргументы?

[noeer]

ну продолжайте говнокодить утешаясь тем что

Ну я так не делаю... Собственно, как и вопросы подобные не задаю.

Делаешь что-то - делай хорошо

В принципе, вы правы.

На чем основано такое заявление? Есть какие-то аргументы?

Да потому, что там кроме админа нет других пользователей. Скорее всего там и логин, что-то типа "admin".
Пользователей нет, значит никто не пострадает.
Ну а что касается владельца, то использовать один и тот же пароль на разных сайтах, в любом случае, крайне не рекомендуется.

[ThunderCat]

noeer, сегодня нет, а завтра есть, кроме того сервис ценен не столько данными(которые конечно тоже ниче так стоят иногда), сколько именно доступом к сервисам, которого даже имея хешированные пароли просто так не получишь. В основном ценны именно не данные, а возможность что-то сделать с аккаунта жертвы, тем более админа.