PHP - Сойдёт ли авторизация, или менять?

Question

PHP

PHP - Сойдёт ли авторизация, или менять?

Мне тут сказали, что
...
$sqlResult = $connect->query("SELECT * FROM `users` WHERE `login` = '$login' AND `password` = '$password'");
if( mysqli_num_rows($sqlResult) == 0) {
//Авторизация.
}
...
не очень хороший вариант, сойдёт ли

...
$max_user_id = mysqli_fetch_array(mysqli_query($connect, "SELECT MAX(`id`) FROM `accounts`"))[0];
for ($id = 1; $id <= $max_user_id; $id++) {
$db_login = mysqli_fetch_array(mysqli_query($connect, "SELECT `login` FROM `accounts` WHERE `id` = $id"))[0];
$db_password = mysqli_fetch_array(mysqli_query($connect, "SELECT `password` FROM `accounts` WHERE `id` = $id"))[0];

if ($login == $db_login && $password == $db_password) {
//Авторизация
}
...

?

AR

Anushervon Rustamov

638

21.08.2018

Похожие вопросы

Answer 1 · 2018-08-20 21:28:41

Боже упаси. Представьте, что тот же ВКонтакте проверял бы все аккаунты при попытке авторизации ОДНОГО юзера. (даже без учёта блокированных и удалённых) - сколько времени у вас ушло бы, еслиб проверялось 300кк аккаунтов? (у вк 500, да, но 200 отбросим - боты там всякие, удалёнки, заброшенные и блоки)
Получайте необходимого юзера по логину - SELECT `password` FROM `accounts` WHERE `login` = ?
знак вопроса потому что стоит использовать mysqli::prepare, да и вообще лучше писать в объектно-ориентированном стиле - код выглядит куда проще, и читать его легче.

ДЧ

Дмитрий Чабан

6 202

Лучший ответ

20.08.2018

Anushervon Rustamov Спасибо за ответ, буду искать альтернативу.

Answer 2 · 2018-08-21 05:17:26

Не нужно ничего менять, а то слетит!

ВЛ

Виктор Люлькин

63 274

21.08.2018

Answer 3 · 2018-08-20 21:17:00

Что за дебил придумал запрашивать в цикле каждого юзера?
А если юзеров там будет больше трёх?)

Леха Леха

95 293

20.08.2018

Anushervon Rustamov Какой-то юзер одного из форумов

Евгений Лапин ещё больше мне интересно кто придумал разбивать один запрос на два...

Answer 4 · 2018-08-20 21:11:47

Полная куета! Как минимум сессии используй...

Мадияр Жексенов

51 775

20.08.2018

Answer 5 · 2018-08-20 21:25:45

Можно упростить. Делай выборку пользователя, сравнивая логин и пароль прямо в базе данных с помощью WHERE. Не надо все пароли загружать в переменные.

Бернард Козьмин

17 771

20.08.2018

Anushervon Rustamov Вроде этого?
$a = mysqli_fetch_array(mysqli_query($connect, "SELECT `id` FROM `accounts` WHERE `login` = $login AND `password` = $password"))[0];

if($a != null) {//авторизация}

Answer 6 · 2018-08-20 23:47:21

Еще код научись писать стройно. А то такая вермишель, и смотреть не хочется. Запрос надо отдельно, обработка результата отдельно.

И если не сказали еще - где prepared statements?

Иван Соколов

5 149

20.08.2018

Answer 7 · 2018-08-20 21:37:58

1.Безопасность. Вижу возможность sql-инъекции. Поэтому следует использовать подготовленные запросы о чем сказано выше.
2.Безопасность. Пароли всегда следует хранить в зашифрованном виде.
http://php.net/manual/ru/book.password.php
3.Использование сессий и куков (ну чтоб не приходилось каждый раз логиниться).

Если глубже погружаться, то авторизация и аутентификация - очень-очень сложные темы со своими подводными камнями. Как хорошо что есть фреймворки, где все уже реализовано)

Был вопрос - сойдет ли авторизация? Такая - нет, даже в учебном проекте

Oybek Xosilbekov

1 326

20.08.2018

Anushervon Rustamov 2. у меня будет $password = md5($_POST['password']);
3. там, где //авторизация одной из строк будет $_SESSION['authorized'] = 'yes';
Уже лучше?

Дмитрий Чабан такая не сойдёт, кстати, даже на пьяную голову в качестве какого-то примера "как не нужно делать"...