Но чтобы понять как работает сия конструкция, мне нужно ман писать. Потому что наверно так въехат ьв стройку будет сложно потому что я сам иногда местами забываю и приходится по комментариям шурстить код --- Добавлено --- Так это, то класс который является родителям всем контроллерам клик сюда Так а это класс который наследуют все модели, здесь реализован паттерн dao клик сюда --- Добавлено --- @Ganzal Не веришь чтоли мне ?)
Пока я не готов, полностью дать свою библиотеку на обозрение, даже на триал тест. Ещё много косячков обнаруживается и багов, я исправляю и делаю пока, рано и мана нету. Когда буду готов я выложу просто @Ganzal мне не поверил вот я и выложил кусочек.
@Ganzal Да, пароль может состоять только из букв и цифр, этого достаточно. Для безопасности, делаешь вот такой пароль e2rRt5Tyv7FzY12U и такой пароль не подломают тебе никогда, ну или лет так через 100+, а вот как защититься от перехватыывания пакетов в сети я пока не знаю. --- Добавлено --- Вот я и переписываю, сейчас кастылик, на универсальную форму авторизации, чтобы производить её методами. Для разных форм. Ну authProtect будет служить не только для авторизации, я напишу ещё мудули просто отправки форм в будущем, но пока что, нету времени пишу необходимое по мере сталкновения с задачей за деньги и моих целей.
Пароль это моё личное дело. Хочу три пробела - будет три пробела. Хочу без цифр - будет без цифр. Не надо за меня решать каким должен быть мой пароль. Видишь как получается. Я придрался к тому что ты из моего пароля в 32 символа делаешь пароль в 29 символов обрезая три пробела с хвоста, а выяснили что ты не понимаешь что пароль это личное дело пользователя. Защита учётки пользователя - личное дело пользователя. Но подмен пароля - преступление программиста.
У меня не пройдёт три пробела при создании пароля! Есть защита. Я не кинул просто сюда модуль этот, если пароль будет содержать не допустимые символы, ты получишь, ответ от сервера. Извините но пароль может состоять только из прописных и заглавных букв английского алфавита, и цифр.
@askanim я бы уволил за такой модуль. Еще разок: пароль это личное дело каждого. Вот память у человека короткая и он вводит четыре цифра. Кстати, знаешь же почему на пластике пин-коды по четыре символа? Так вот, если пользователю нужна защита - он придумает сложный пароль и будет его менять. Если ему не страшна компрометация учетной записи - он воткнёт один символ и ты... БУДЕШЬ ОБЯЗАН ЕГО С ЭТИМ ОДНИМ СИМВОЛОМ ПРИНЯТЬ И ПРОСТИТЬ. --- Добавлено --- Твоя задача держать пароль в безопасном виде. В хэшированном. (да, кстати, у тебя там в комменте ошибочка - не "шифруешь" ты пароль, а именно "хэшируешь"). И всё.
Ты предрался. Не нравистя можешь написать свой модуль, я лично борец призват ьвсех защищать свои акаунты, и не позволить не опытным, создавать не безопасные пароли, если надо востоновить, создаётся кнопочка восстановить пароль. и отправляется уникальная ссылка действующая в течении 15 минут на почтовый ящик регестрирующегося пользователя --- Добавлено --- Как не шифрую а bcrypt ? он что уже не называется шифрованием ? --- Добавлено --- Я не позволю пользователем в своей любой системе создавать пароли менее 8 знаков. Лично я дело каждого, хочешь не делай проверку отправляй сразу пароль. И пусть он у тебя будет хоть со спец символами. я лично для себя в первую очередь данный модуль писал. --- Добавлено --- Интересно в админку у тебя тоже пароль 4 пробела?) --- Добавлено --- И модуль регистрации я не переписал ещё указал ведь. Только модуль авторизации уневерсальный. --- Добавлено --- Посмотри на вход там есть trim? а и подписал модуль регистрации ещё не сделал --- Добавлено --- Там можешь сделать хоть один символ при отправке пароля. и тот пробел. А там как знаешь. я же говорю делаю уневерсальный просто сбор, по одному объекту кучу форм, регистрацию ещё не брался даже решаю вопрос с проверкой на нажатие кнопки, при установке модуля, на той же странице, где и сама форма. Я делаю всё лакончино и красиво, а ты тут уже хейтить меня начал
Будет там возможность хоть не быть пароля. Не хочешь не делай его вообще, я вообще хочу в своём магазине который сделать, вход тупо по паролю на смс который разовый выдаётся. На один заход вышел, и тютю ни пароля ни чего. --- Добавлено --- Эт почему ?) --- Добавлено --- Я грамотно всё написал у себя в скриптах или есть ошибки ?) я же написал регистрацию ещё не сделал уневерсальным модулем. ТЫ не прочитал чтоли ? Я сделал только авторизацию. --- Добавлено --- Эх блин обосрал не справедливо как - то аж обидно ладно бы написал на гавнокодил, я бы понял. --- Добавлено --- а про качества кода не чего не сказал :\
распиши алгоритм. Прям интересно стало. Молодой и горячий ты. Борешься с ветряными мельницами. Где я тебя обсирал? Обсирается тот кто хочет быть осиратым (переделка фразы обижается тот кто хочет быть обиженным). Я лишь указал на тот факт, что ты не понимаешь назначения пароля пользователя. И у тебя там еще в коде мелькал стрип-таг на поле пароля. Ну вот представь себе что у меня в пароле совсем случайно получилась последовательность <br> среди тех 32 символов из которых еще и три пробела. И ты получается отрезая по пробелу делаешь четыре пароля и потом убивая последовательность напоминающую тег - делаешь еще в два раза больше паролей. Ты пока не понимаешь что ты делаешь. Это нормально для начала пути. Просто ты захотел зарплату высокую, и я решил посмотреть на что ты способен. Пока тебя не в ту степь носит.
@Ganzal То есть по сути погоди, нужно сделать пароль, позволяющий внести абсолютно любое значение, но не менее одного символа ? Тогда взлом акаунта будет быстрым. А если находясь скажем в акаунте будет находится что-т оценное, а если в запросе отправят тег <?php // и поехали > это нужно прописывать разрешение, на специальные символы, при вводе типа стрип тегс тока указать нужное, есть где то в мане пример, создание собственной функции стрип тегс, она у меня есть, там можно прописать, проходящие вариации написания. --- Добавлено --- @Ganzal я тебя услышал я позволю, сделать при работе с моей библиотекой, то что хочешь ты, делать с паролем, но и предоставлю возможность защиты, а дальше люди пусть сами что хотят то и делают.
Именно так. Если пользователю посрать на учетку - пусть будет один символ и быстрый подбор. Если ему не посрать - он и без твоих требований придумает сложный пароль. Ты хэшируешь пароль. Не важно что было на входе. На выходе будет хэш. Хэшем тебе ничего не сломают.
И ничего вообще не случится, если ты в функцию eval не будешь эту строку передавать (а пользоваться этой функцией строго не рекомендуется). Я тебе уже как-то писал, что совершенно всё равно, что находится внутри строковой переменной php. php-инъекций не бывает! SQL-инъекции возможны по простой причине: при работе с сервером SQL твоя программа, грубо говоря, сама пишет другую программу, на языке SQL. И если она его сделает неправильно, он неправильно сработает. Ты по каким источникам занимаешься? Иногда советуешь правильные вещи, а иногда такую ахинею несёшь....
Знаю отправка сообщений на телефон как то через атс делается, точно как не знаю, ещё не делал это но допустим 1 . Некая функция отправки смс на телефон (номер телефона пользователя). 2. Некая функция генерации пароля. 3. некая функция которая заменит временный пароль пользователя на Null 2. Делаем запрос к базе ищем пользователя с таким номером, ага есть, 3. создаём свой пароль, шифруем его. и прячем в пустое поле в базе. 3.1 Так отправляем команду на сервер, воспроизвести функцию удаления пароля через 15 минут. 4 . вызываем функцию отправки смс на телефон(и номер пользователя из базы) которая отправила на телефон смску с придуманым паролем. 5 . дальше отправляем пользователя, на другую страничку где нужно ввести пароль. 6 . Дальше если попытаются даже отправить пустое поле, пользователь уже не будет найден в базе, так как будет условие что если калонка password is not null. пошёл нафиг. 7. ну и в заключение, пользователь вошёл в систему, по правильному паролю, ему выдаётся сессия с ключом, рендомно зашифрованым и положеным в базу, дальше, будет проверяться сесия. А пароль опять же будет удалён. ну а дальше по старинке думаю как то так будет --- Добавлено --- принял. --- Добавлено --- источник логика, и ман php .
Там базис, а я его уже знаю. Кроме трейтов, и интерфейсов. Так проскользил по ним, но особо не вникал, пока не понял куда их мне нужно применять. В принципе базис знаю, остальное думаю с опытом придёт. Методом проб и ошибок. Библиотеку пишу основываясь на том что необходимо при разработке кода Ну и пишу основываясь на паттерны. По крайн мере стараюсь, не гавнокодить.
я тоже стараюсь не говнокодить, но говна получается прилично доска тудушек забита напоминалками о переписывании отдельных частей кода
Не знаешь, раз считаешь, что что-то страшное произойдёт, если я у тебя на сайте в инпуте введу PHP: <?php die(); . И ещё раз повторюсь, если не передавать такую строку в функцию eval(), то она никогда и не где не выполнится как код, поэтому бояться тут совершенно нечего