Какие недостатки у такой авторизации?

Question

[Имя Фамилия]

Я авторизуюсь вот так:

$logged = false;
// если есть куки, проверяем их и авторизуем
if(isset($_COOKIE['user_id']) AND isset($_COOKIE['hid'])) {
... запрос в базу, если есть, то ... $logged = true;
}

То есть каждый раз идет запрос в базу, при каждом открытии страницы, что бы проверить статус юзера.
Чтобы убрать этот долбозапрос, решил таким образом аторизовывать.
Какие проблему могут возникнут у такого варианта авторизации?
Юзер логинится.
1. В указанной папке создается txt с именем хеша, к юзеру в базу идет этот хеш.
2. В файл записывается хеш, к которому добавляется какое-то значение, например 5, получается - 5хеш.
3. В файл записываются некоторые глобальные переменные.
4. Создается кука с этим хешем.

Юзер переходит на другую страницу:
1. Проверка, если есть файл с именем хеша и содержанием 5хеш, то статус logged = true
2. Если нет файла, или не совпадает содержание и хеш, или нет кука, то logged = false

То есть долбозапрос теперь и не нужен.

P.S. при бане файл удаляется, при каждом залогивании удаляется старый файл, создается новый с именем нового хеша

Comments

[FanatPHP]

почему ты мне не ответил на вопросы, которые я задал в прошлый раз?

[Имя Фамилия]

FanatPHP, не ответил, подумал, что это была риторическая агрессия.
Еще спасибо за еще один ответ. Решал проблему, гуглил гуглил что есть сил, и на твой ответ наткнулся, проблему решил.

[FanatPHP]

я все еще жду ответа

[Имя Фамилия]

FanatPHP, я понимаю к чему вопрос.
Там значение не id, там алиас юзера.
Не хочу id светить, использую, только там где не видно.
Очень благодарен за помощь, прям очень. У меня вопросов тысяча, но буду задавать самые необходимые, чтобы хабр не сломать случайно.

[FanatPHP]

что такое "алиас"? я просил пример.

[Имя Фамилия]

FanatPHP, например 12312 или hkj43535 или kdf894ufh или jkh898uhf

[FanatPHP]

'это всё подбирается в два счета, и никакой вообще защиты аккаунта от подмены не обеспечивает

[Имя Фамилия]

FanatPHP, разве подмены можно избежать? расскажешь как?

[FanatPHP]

ну разумеется можно!
нормальный токен подменить нельзя.
посмотри на session id и сравни со своим hjhj

[FanatPHP]

ещё я спрашивал прочему проверка на наличие куки два раза
ты можешь здесь привести в нормальном виде код который у тебя получился?

у тебя какое-то извращенное представление о том, что ломает хабр
ты почему-то портишь код перед тем как его выложить,и выкладываешь какие-то огрызки, и никогда не исправляешь код по тем замечаниям которые тебе сделали.
такой подход сломает, только не хабр, а твое присутствие на нем

вопросы задавать можно и нужно
если у тебя есть впрос, то лучше спросить, а не сидеть варить что-то у себя в котелке, потом выскочить на 2 секунды с какой-то невнятной репликой, и тут же удрать в свою тину.

не бойся задавать вопросы
надо только задавать их нормально, отвечать на вопросы, которые тебе задают, и принимать к сведению ответы.

[Имя Фамилия]

FanatPHP, убрал двойной запрос куков, код поправил. Спасибо.

[FanatPHP]

ну ты покажи что получилось-то :)

[Имя Фамилия]

FanatPHP,

include "/functions.php";
$dbpdo = connectdbpdo();
ini_set('error_reporting', E_ALL);
ini_set('display_errors', 1);
ini_set('display_startup_errors', 1);

if($_GET['act'] == 'gologin') {
   // принимаем данные и обрабатываем
   $pass = preg_replace('/[^a-zA-Z0-9]/ui', '',$_POST['password']);
   $pass = trim($pass);
   $pass = preg_replace('/[\s]{2,}/', ' ', $pass);
   $pass = md5($pass);
   $user_email = preg_replace('/[^a-zA-Z0-9@._-]/ui', '',$_POST['email']);
   $user_email = trim($user_email);
    
    // проверяем email на валидность и пропускаем дальше если норм
    if(filter_var($user_email, FILTER_VALIDATE_EMAIL) == false && strlen($user_email > 3)) {
      echo json_encode(array('1','<div class="err_show">The email address was entered incorrectly</div>'));
      die();
    }
    // проверяем пароль  на валидность и пропускаем дальше если норм
    elseif (strlen($pass) <= 5){
      echo json_encode(array('2','<div class="err_show">Password must be 6 characters</div>'));
      die();
    }

    else {
      // если всё норм то делаем запрос в базу на наличие данных
      $resjd = $dbpdo->prepare("SELECT * FROM user WHERE user_email = :user_email and user_password = :user_password");
      $resjd->execute(array('user_email' => $user_email, 'user_password' => $pass));
      $rowndd = $resjd->fetch(PDO::FETCH_ASSOC);
        // если есть совпадение - авторизуем
        if($rowndd) {
          $hid = md5(time().$pass).md5($pass);
          $go = $dbpdo->prepare("UPDATE user SET user_hid = :user_hid WHERE user_email = :user_email");
          $go->execute(array('user_hid' => $hid, 'user_email' => $user_email));
          setcookie("user_id", $rowndd['alias'],time()+360000, "/","", 0);
          setcookie("hid", $hid, time()+31556926, "/","", 0);
          // возвращаем урл юзера, на который он переходит автоматически
          echo json_encode(array('4', $rowndd['alias']));
          
            } else {
              // юзера такого нет, отправояем ему сообщение
              echo json_encode(array('3','<div class="err_show">E-mail or password entered incorrectly.</div>'));
              die();
            }
    }
die();
} 
else {
header('HTTP/1.0 404 Not Found'); die();

[FanatPHP]

во-первых спасибо за нормальное оформление кода
так его читать гораздо лучше. а точнее так его в принципе можно прочесть и понять.

в-вторых, срочно забыть про md5() и почитать про password_hash(). Это в обязательном порядке. MD5 на современных майнинговых фермах ломается так как будто его и нету.

в-третьих,

$pass = preg_replace('/[^a-zA-Z0-9]/ui', '',$_POST['password']);
   $pass = preg_replace('/[\s]{2,}/', ' ', $pass);

в ужасе выкинуть. Попробуй ответить себе на вопрос, ЗАЧЕМ ты совершаешь эти телодвижения?

в-четвертых для проверки емейла в пхп есть встроенная функция. корежить емейл не надо. надо проверить - если валидный, то пропустить, если невалидный - послать. то есть все это колупание с регулярками тоже выкинуть

В-пятых $hid = md5(time().$pass).md5($pass); это тоже ОЧЕНЬ так себе.
вместо этого ужаса используй
bin2hex(random_bytes(32));

в шестых, при наличии уникального токена, тебе юзер айди в куки класть не надо

[FanatPHP]

и это ты показал код логина
исправляй его, потом переписывай код проверки и тоже показывай

[Имя Фамилия]

FanatPHP, С новым годом!

Answer 1

[nokimaro]

- Что будет если пользователя взломали, и взломщик залогинен. Дальше пользователь бежит меняет пароль, но взломщик продолжит сидеть под пользователем, ибо файл.
- Что будет если пользователя вдруг забанят? А вы не сделали запрос к БД и не узнали этого.
- Вообще любая ситуация когда вам нужно получить актуальные данные о текущем авторизованном пользователе из базы, но вы этого не делаете, так как экономите на этом запросе. Например решили добавить роли пользователям на сайте, меняете role для юзера. Как без запроса к БД текущему пользователю это узнать, что у него поменялась роль и теперь доступны доп. функции?

Чтобы убрать этот долбозапрос

Поймите и примите простую истину - база данных создана для того чтобы РАБОТАТЬ, так пусть же работает и исполняет ваши долбозапросы. Не нужно тут ничего придумывать.

«Преждевременная оптимизация — корень всех зол». Дональд Кнут.

Comments

[Имя Фамилия]

при бане файл удаляется,
при новой атворизации старый файл удаляется, новый создается с новым именем хеша
если поменялась роль, запись идет в базу и в сам файл в виде глобальной переменной, если файл есть
Спасибо.

[nokimaro]

User782, и в реальном приложении могут возникнуть ещё десятки подобных сценариев, и теперь вместо того чтобы в одном месте делать UPDATE-запрос, а в другом SELECT-запрос к базе, вам ещё нужно будет плясать с бубном вокруг абстрактного файла.
Так же работа с таким файлом может оказаться медленнее чем запрос к БД, есть вопросы блокировки файлов при конкурентной записи, вопросы множества файлов в одной папке и тд.

[Имя Фамилия]

Спасибо. А Вы какой метод авторизации рекомендуете? Куки и сессии, или только сессии, или только куки?

Answer 2

[FanatPHP]

Есть такая русская пословица, "дурная голова ногам покоя не даёт".
Вот она про это "изобретение".