Q&A
データベースでユニークに設定する以外の方法を模索しているのは何故でしょうか?DBの登録上、重複しますが。
<?php class Controllers_login extends CI_Controller{ public function __construct(){ parent::__construct(); $this->load->database(); $this->load->library('session'); $this->load->helper('url'); $this->load->library('form_validation'); } public function index(){ $this->load->view('views_mainpage'); } public function first_login(){ $this->load->view('views_login'); } public function main(){ $this->form_validation->set_rules('email','mailaddress','required'); $this->form_validation->set_rules('password','mypassword','required'); if($this->form_validation->run()==FALSE){ $this->load->view('views_error'); } else{ $email=$this->input->post('email'); $password=$this->input->post('password'); $this->load->model('models_login'); $number_row=$this->models_login->exist_func($email,$password); //この辺がバグの原因になりうる if($number_row>0){ //get id by this email and password $user_id=$this->models_login->get_id($email,$password);//!!! $this->session->set_userdata(array('id'=>$user_id['id'])); $this->session->userdata('id'); $session_id =array('id'=>$user_id['id']); //get name by this session id $name_data['name']=$this->models_login->get_name($session_id); //send name for view $this->load->view('views_mainpage',$name_data); } else{ //$this->load->view('views_login'); $this->load->view('views_error'); } } } public function logout(){ $this->session->sess_destroy(); redirect("controllers_login"); } } ?>
<?php class models_login extends CI_Model{ public function __construct(){ parent::__construct(); $this->load->database(); $this->load->library('session'); $this->load->helper('url'); $this->load->library('form_validation'); } public function exist_func($email,$password){ $sql="SELECT*FROM login WHERE email=? AND password=?"; $query=$this->db->query($sql,array($email,$password)); //この辺がバグの原因になりうる $number_result=$query->num_rows(); return $number_result; } public function get_id($email,$password){ $sql="SELECT id FROM login WHERE email=? AND password=?"; $query=$this->db->query($sql,array($email,$password)); $row=$query->row_array(); return $row; } public function get_name($session_id){ $sql="SELECT name FROM login WHERE id=?"; $query=$this->db->query($sql,array($session_id)); $row=$query->row_array(); return $row; } } ?>
ログイン認証についての質問です。
フォームに入力したメールアドレスとパスワードが一致した行数を返して、
0より大きいかを判断するのがif($number_row>0)なのですが、このようなやり方だと、同じメールアドレスとパスワードが2件あった場合にバグの原因になるようです。データベースの方でユニークを設定する以外で考えています。ログインできたかログインできなかったかをtrueかfaulseで判定するにはどういったものを使えば良いかヒントお願いします。一応今のコードでも動くのですが、やはりこの書き方はよくないでしょうか。
回答1件
0
ベストアンサー
どのようかバグを想定しているかを書いてください。
また、クエリを3回に分ける必要はないですね。
idとnameを一度に取得するように修正すればユーザーの存在確認とid・nameの情報は一度で取得できるのでバグは起きないです。
重複を許す以上、複数個のidとnameが帰ってきた時になにを基準に選ぶかを決めないといけません。
投稿2017/03/24 15:13
編集2017/03/24 15:43
総合スコア18155
同じメールアドレス、パスワードの人が存在したために、例えばマイページに飛んだ時に違う人のページが表示されてしまうというバグです。
重複を許す以上、そのバグは解消できません。
他になにかユーザーを一意にする情報を追加しないといけません。
また、それはバグではなく仕様設計もれです。
今更気づいたのですが、if($number_row=1)にすれば解決だったかもしれません。
横から失礼します。
if($number_row==1) ですよね?
これだと、複数件登録されているユーザーは除外されます。それは意図していることではないですか?
問題の本質は理解できてますか?
if($number_row==1)ですね。
元々データベースに複数件同じメールアドレス、パスワードが存在する前提だとこの条件は問題ですね。
データベースに今後登録する際にメールアドレスをユニークにしようと思います。その上で
if($number_row==1) にすれば良いでしょうか。重複許す設定がまずそもそもダメということでしょうか。
でもif($number_row==1)にすると
モデルの$number_result=$query->num_rows();
このnum_rows();っていうのもなんというか違和感ありますね。
結果は1か0しかないのに使い方が変というか・・・
同じことではあるんですけども。
もっとスマートな方法あればってところですね。
tureかfalseで判定するような。
そもそも行数を取得する必要はないですよ。
1-回答に書いたようにメールアドレスとパスワードで検索する。
2-idとnameが取得できた。→ユーザーがいる。
3-idとnameが取得できなかった。→ユーザーがいないのでエラーにする。
横から失礼。
ログインシステムの定石をまず押さえる必要があるかと思います。
http://qiita.com/ShibuyaKosuke/items/f114ffccf441edb2b745
こちらを参考に、ログインシステムの挙動を学習されては?
丁寧に解説してくれているので、CodeIgniter への実装もそれほど難しくありません。
逆に、Ion Auth なりのライブラリを導入して、動作を確認するのでも良いかと思います。
http://blog.a-way-out.net/blog/2015/06/08/codeigniter-ion-auth/
*日本語化する時にちょっと課題があった気がします。ちゃんと覚えていませんが。学習であれば、英語ページで良いので、手順通り進めればよいかと。
ログインシステムは、それなりに経験がなければ、すぐにセキュリティホールが出来てしまう機能なので、独自設計ですすめるよりも、基礎をちゃんと押さえたほうがが良いです。
ありがとうございます。それならrow使う必要なくtrue,falseできますね。sql文でidとnameを取得するには、select id,name from login where email=? and password=?になりますが、nameだけを結果に返すことってできるのでしょうか。それがよく分からなくてクエリを一個ずつ分けていたんですよね。
リファレンスを読みましょう。
result_array
https://www.codeigniter.com/userguide3/database/results.html
public function exist_func($email,$password){
$sql="SELECT id,name login WHERE email=? AND password=?";
$judge=$this->db->simple_query($sql,array($email,$password));
var_dump($judge);
return $judge;
}
すみません。
if($judge==true)
このようにしてログイン判定をしようと思ったのですが、正しいメールパスワードを入力したにも関わらずsimple_queryにfalseがに返ってきます。間違ったデータを入れた場合も同様falseです。どういうことなんでしょうか
私が張ったリンクにsimple_queryを使うとは書いていないですよね?
リファレンスをしっかり読んでから質問してください。
また、simple_queryはSQLとして正しいかどうかを判断するメソッドであり、結果が返ってくることはありません。このメソッドがfalseを返すならそのSQLは正しくありません。
あと、私はidとnameを一度に取得する方法を回答としているので、それ以外の方法で解決したいなら私から言えることはないです。
失礼、fromは入ってます。
fromが入っていようがsimple_queryはfalseを返しているんですよね?その時点でそのSQLは間違っています。
また、リファレンスでresult_arrayについて読んでからコメントしてください。
あなたの回答
tips
プレビュー
