Ho ipotizzato il funzionamento di una login in quanto segue:

Una volta che l'utente inserisce i dati e clicca su "accedi":

i dati verranno inseriti all’interno di una query che ricerca un eventuale record con user e pws coincidenti con quelli specificati dall'utente;
l'eventuale record individuato dalla query viene letto:
A) se la query non ha restituito risultati, cioè non vi sono user e pwd coincidenti con quelli dell'utente o un dato differisce, viene mostrato il messaggio di accesso negato
B) se la query ha avuto successo, cioè ha riscontrato un record con user e pwd coincidenti con quelli inseriti dall'utente, verrà avviata la sessione.

è esatto?
grazie :)

Sì, attento però all'sql injection. Ti linko wikipedia che fa proprio un esempio con php: http://it.wikipedia.org/wiki/SQL_injection

Sì, attento però all'sql injection. Ti linko wikipedia che fa proprio un esempio con php: http://it.wikipedia.org/wiki/SQL_injection
no no tranq :D mi servono solamente gli step momentaneamente, tralasciando il codice

grazie...

La procedura che hai descritto è esatta, anche se si presta a semplici ma fondamentali ottimizzazioni per evitare i più comuni buchi di sicurezza.

Ho ipotizzato il funzionamento di una login in quanto segue:

Una volta che l'utente inserisce i dati e clicca su "accedi":

i dati verranno inseriti all’interno di una query che ricerca un eventuale record con user e pws coincidenti con quelli specificati dall'utente;
l'eventuale record individuato dalla query viene letto:
A) se la query non ha restituito risultati, cioè non vi sono user e pwd coincidenti con quelli dell'utente o un dato differisce, viene mostrato il messaggio di accesso negato
B) se la query ha avuto successo, cioè ha riscontrato un record con user e pwd coincidenti con quelli inseriti dall'utente, verrà avviata la sessione.

è esatto?
grazie :)

Per ottimizzare il tutto puoi fare una SELECT COUNT, ovvero contare esattamente un campo a tua scelta (metti l'id utente) con i parametri user AND password passati; ricordati di limitare la query a 1.

Cosa significa? Che quando il motore sql troverà la corrispondenza con i campi, si fermerà li (ottimizzazione) e ti riporterà il valore integer 1.

A posto.

Grazie a tutti, mi serve solo una parte "teorica" di come funziona, tralasciando la sintessi

è perfetta come sintesi teorica, se vuoi fare una cosa ganza potresti fare in modo che se l'autenticazione fallisce, mostra il messaggio di errore, e reindirizza al form di login!:fagiano:

Per ottimizzare il tutto puoi fare una SELECT COUNT, ovvero contare esattamente un campo a tua scelta (metti l'id utente) con i parametri user AND password passati; ricordati di limitare la query a 1.

Cosa significa? Che quando il motore sql troverà la corrispondenza con i campi, si fermerà li (ottimizzazione) e ti riporterà il valore integer 1.

A posto.

Come si limita a uno? Mi interessa per una procedura plsql che devo fare per un progetto dell'uni.

Come si limita a uno? Mi interessa per una procedura plsql che devo fare per un progetto dell'uni.

coda alla SQL, LIMIT 0,1

Mi autoquoto :muro:

l'eventuale record individuato dalla query viene letto
se la query di ricerca del record con user e pwd uguali a quelli inseriti dall'utente NON ha riscontrato valori...........non verrà letto alcun record esatto?

Mi autoquoto :muro:


se la query di ricerca del record con user e pwd uguali a quelli inseriti dall'utente NON ha riscontrato valori...........non verrà letto alcun record esatto?

No... restituisce un false la query... ovvero riporta un insieme vuoto.

No... restituisce un false la query... ovvero riporta un insieme vuoto.
ah...quindi cmq restituisce un valore "F" e poi effettua il redirect ad esempio a login_failder.php?

ah...quindi cmq restituisce un valore "F" e poi effettua il redirect ad esempio a login_failder.php?

No ti torna un insieme vuoto e il redirect lo effettua solo se lo imposti tu.

No ti torna un insieme vuoto
sarebbe? :mc:

sarebbe? :mc:

Ma una base di Matematica e SQL no? :S

coda alla SQL, LIMIT 0,1

Grazie, appena posso provo. I parametri i=0 e n=1 vogliono dire che voglio n elementi a partire dall'iesimo?

Grazie, appena posso provo. I parametri i=0 e n=1 vogliono dire che voglio n elementi a partire dall'iesimo?

Vuol dire che limito da 0 a 1 i risultati :)

Si potrebbe anche usare un if exists per "ottimizzare in modo estremo".
Ho letto alcuni test secondo i quali sarebbe molto più veloce di un SELECT COUNT

Si potrebbe anche usare un if exists per "ottimizzare in modo estremo".
Ho letto alcuni test secondo i quali sarebbe molto più veloce di un SELECT COUNT

Secondo me è uguale. :)

Ma una base di Matematica e SQL no? :S
si, ma non ricordo bene...

praticamente se non esiste il record con id e pwd coincidenti con quelli inseriti dall'utente mi restutuisce un "record vuoto" (e quindi visualizza, ipoteticamente, un msg di errore)?