Проверка логина регулярным выражением

⚠️ Bymas - Форум разработчиков

Печать RSS

461

Удаленный 11.11.2016 / 16:37 Автор
Дух

кароч вот весь код регистрации.

<?php
require "connect.php";
if ($_SESSION['login']){header ('Location: '.$_SESSION['login'].''); exit();}

if ($_POST['reg']){
    
$login = $_POST['login'];
$pass = md5($_POST['pass']);
if (!preg_match("/^[a-z0-9]{3,10}$/",$login)){$errorlogin = 'Логин только из латинских букв в нижнем регистре и цифр от 3 до 10 символов';}

$row = mysqli_fetch_array(mysqli_query($connect, "SELECT login FROM users WHERE login='$login'"));
if ($row['login']){$dudlelogin = 'Логин уже зарегистрирован. Введите другой логин.';}


if (!$errorlogin AND !$dudlelogin){
$row = mysqli_query($connect, "INSERT INTO users (login,pass) VALUES('$login','$pass')");
$_SESSION['login'] = $login;
if ($_SESSION['login']){header ('Location: '.$_SESSION['login'].''); exit();}
}

}

mysqli_free_result($row);
mysqli_close($connect);
?>

Посоветуйте что добавить или убрать или поменять

ramzes 11.11.2016 / 17:43
2000 лет д.н.э.

$_POST['login'] = trim($_POST['login']); просто хороший тон. иногда случайно пробел прожимают
_______
$_SESSION['login'] = $login; для безопасной авторизации этого мало. в случае перехвата сессии учетку просто угонят.
я бы добавил хеш (ип+юзерагент), и сверял бы их
ну и в куку че то писать, если нужна возможость автоматической авторизации спустя пол-часа отсутствия

Александр 11.11.2016 / 18:23
Чатланин

Так перводи сам в нижний регистр - mb_strtolower($login); да и все. Юзеру не нужно заморачиваться.

Удаленный 12.11.2016 / 00:34 Автор
Дух

ramzes, вроде бы регулярка итак не пропускает пробелы.. А если ИП динамический?

ramzes 12.11.2016 / 01:24
2000 лет д.н.э.

ramzes, вроде бы регулярка итак не пропускает пробелы.. А если ИП динамический?
MaZaHaKeR (Сегодня / 00:34)

регулярка будет ругать юзера если он пробел влупит, проще его удалить чем заставлять вводить по новой.
ип можно не весь брать, допустим первые две части. можно конечно и чисто по юзерагенту, но это ненадежно, тот же хром у большинства имеет одинаковый уа.
динамический ип все равно не меняется каждые 5 минут. опять же. если будут куки, то ресет авторизации в сессии юзер даже не заметит, его на куках авторизирует автоматом, и сгенерит новые данные для сессии.

Удаленный 12.11.2016 / 01:39 Автор
Дух

ramzes, спасибо за советы! А подскажешь как это правильно реализовать? Я с куками еще дел не имел

ramzes 12.11.2016 / 15:44
2000 лет д.н.э.

точно так же как с сессией, разница лишь в том что задаются куки специальной функцией http://php.net/setCookie и задавать их надо до отправки данных в браузер
а читаются так же из массива _COOKIE
и главное. данным от куки доверять нельзя, т.е. их можно подделать, соответственно их обязательно надо фильтровать и проверять на валидность (аналогично проверке данных из формы)

Изменил: ramzes (12.11.2016 / 15:46)

Для выполнения действия необходимо авторизоваться!

Стикеры / Теги / Правила / Топ тем / Топ постов / Поиск