Авторизация в php

[volni]

Здравствуйте, возник такой вопрос,
Я делаю авторизацию в базе данных, метод авторизации выбран следующий: в бд будет таблица групп пользователей (ид, что может делать) и таблица пользователей ( логин,пароль, ид группы), то есть на прямую пользователи в бд задаваться не будут.
Вопрос в реализации этого: как я это понимаю, я подключаюсь к бд через phpзапрос и в подключении, где логин и пароль мне указывать логин и пароль от рута, а потом ограничивать html формы разными php условиями, которые характерны для пользователей?
Верно ли я понял?)
Спасибо за внимание, надеюсь доступно объяснил свои мысли=)

[Serge_Bliznykov]

Цитата:

Сообщение от volni

Вопрос в реализации этого: как я это понимаю, я подключаюсь к бд через phpзапрос и в подключении, где логин и пароль мне указывать логин и пароль от рута, а потом ограничивать html формы разными php условиями, которые характерны для пользователей?
Верно ли я понял?)

да, вполне можно делать так. Все запросы на сервере выполняются от root.
а результаты запросов уже зависят от того, что доступно пользователю.

p.s. не забудьте о том, что переданные пользователем данные для авторизации (логин и пароль) ОБЯЗАТЕЛЬНО нужно обрабатывать перед использованием.

p.p.s. пароль в базе не хранится, там нужно хранить хэш от пароля.
см. PHP: Хеширование паролей - Manual

[volni]

Цитата:

Сообщение от Serge_Bliznykov

да, вполне можно делать так. Все запросы на сервере выполняются от root.
а результаты запросов уже зависят от того, что доступно пользователю.

p.s. не забудьте о том, что переданные пользователем данные для авторизации (логин и пароль) ОБЯЗАТЕЛЬНО нужно обрабатывать перед использованием.

p.p.s. пароль в базе не хранится, там нужно хранить хэш от пароля.
см. PHP: Хеширование паролей - Manual

Спасибо, а еще такой вопрос возник, соединение с базой(mysqli_connect) лучше делать на каждой php странице, где присутствуют запросы в бд?
Просто мне кажется, это как-то не очень. Но в то же время я не знаю, как сделать по другому, т.к. не знаю, на какой странице поставить mysqli_close, ведь пользователь может в любой момент закрыть сайт.

[Serge_Bliznykov]

ой-ё-ёй...
срочно читать Самые основы. Как работает PHP.

если кратко.
на каждой странице, где нужно соединение с БД, делайте require или require_once (почитайте, чем они отличаются.
через рекваре грузите файл с коннектом к БД connect.php (имя файла примерное, напишите своё имя файла).

Цитата:

Сообщение от volni

на какой странице поставить mysqli_close, ведь пользователь может в любой момент закрыть сайт.

в теории - на той же, где получили данные.
открыли соединение, прочитали данные (можно многократные запросы), в конце - закрыли.

впрочем, закрывать не обязательно.
Как только ваш PHP файл закончит работу, то всё система сама закроет и очистит.

отсюда https://www.php.net/manual/ru/mysqli.close.php -

Цитата:

Открытые непостоянные соединения MySQL и результирующие наборы автоматически удаляются сразу по окончании работы PHP скрипта. Следовательно, закрывать соединения и очищать результирующие наборы не обязательно, но рекомендуется, так как это сразу же освободит ресурсы базы данных и память, занимаемую результатами выборки, что может положительно сказаться на производительности. Больше информации можно почерпнуть в разделе Освобождение ресурсов

поймите, что как только ваш код PHP отработал, то он больше не существует.
Недоступны не переменные из этого скрипта, ни открытое соединение, ни HTML код, который он сгенерировал - ничего! Вы обратились к серверу, он открыл ваш PHP файл, выполнил его, отдал Вам результаты в виде HTML кода (конечно, PHP программа может что-то записать вовне (БД, файлы, другие сервера)), закрыл программу и очистил занимаемые ею ресурсы.

[volni]

Цитата:

Сообщение от Serge_Bliznykov

ой-ё-ёй...
срочно читать Самые основы. Как работает PHP.

если кратко.
на каждой странице, где нужно соединение с БД, делайте require или require_once (почитайте, чем они отличаются.
через рекваре грузите файл с коннектом к БД connect.php (имя файла примерное, напишите своё имя файла).



в теории - на той же, где получили данные.
открыли соединение, прочитали данные (можно многократные запросы), в конце - закрыли.

впрочем, закрывать не обязательно.
Как только ваш PHP файл закончит работу, то всё система сама закроет и очистит.

отсюда https://www.php.net/manual/ru/mysqli.close.php -



поймите, что как только ваш код PHP отработал, то он больше не существует.
Недоступны не переменные из этого скрипта, ни открытое соединение, ни HTML код, который он сгенерировал - ничего! Вы обратились к серверу, он открыл ваш PHP файл, выполнил его, отдал Вам результаты в виде HTML кода (конечно, PHP программа может что-то записать вовне (БД, файлы, другие сервера)), закрыл программу и очистил занимаемые ею ресурсы.

спасибо, сейчас буду читать=)
И крайний вопросик на сегодня, как правильно вставлять сессии в sql запрос?

Код:

$sql = "SELECT name FROM users WHERE user_password='$_SESSION['user_password']'";

Так не работает,в голову лезет только присваивать какой-то локальной переменной и вставлять ее, только так?

[Alex11223]

что у вас пароль забыл в сессии?

[ADSoft]

Читать про sql инъекции!!!

[Spoilt]

Используйте лучше PDO для работы с базой.

И да, пароль пользователя в сессии, ему явно там не место. Попутно с sql инъекции, почитайте про post и get передачу данных. Собственно у вас должен получится примерно такой лог. Пользователь отправил пароль post, отловили его на сервере, пропустили через фильтр, отправили на шифрование, хэш записали в базу, так же слепили хэш для идентификации пользователя можно в куку отдать. В сессию отправили какой то флаг что пользователь true. И на каждой странице проверять, пользователь true или false ) Ну и соответственно если пользователь false вытягивать из куки идентификатор и проверять, сходятся они или нет. Тот что в куке и где то в базе. Если они сходятся, старый идентификатор затирать и выдавать новый. Хотя можно на каждой странице менять идентификатор. Наверное... И обязательно почитайте про PDO.

[Alex11223]

Цитата:

Сообщение от Spoilt

отправили на шифрование, хэш записали

так на шифрование или хэширование?

[volni]

Цитата:

Сообщение от Alex11223

что у вас пароль забыл в сессии?

да не будет его там, я просто тестил смогу ли я так сделать, как написал, и просто выбрал рандомное поле)

Цитата:

Сообщение от ADSoft

Читать про sql инъекции!!!

хорошо,спасибо=)