PHP MySQL - Login differenziato per utente

[abranca]

Ciao a tutti.
Sto sperimentando con un progetto nuovo.

Fin ora ho utilizzato un login di base, con autenticazione nome utente e password.
Recupero i dati di login, confronto i dati acquisiti con quelli presenti sul db, se presenti avvio una sessione.
Recupero id e user dal db e $_SESSION['id'] e $_SESSION['user'] dopodichè effettuo il login ad una pagina di amministrazione dove posso aggiungere utenti, editare profili, ecc.

Ora ho l'esigenza di ampliare questo progetto differenziando tre tipi di utenti:
amministratore
lavoratore
cliente

Ho modificato i form e il db aggiungendo una tabella con i "ruoli" e nella tabella utenti ho aggiunto la colonna idruolo.
Ovviamente presumo che per differenziare i login a seconda del ruolo debba realizzare delle sessioni differenziate, ma sono agli inizi e non so come funziona il tutto.

Spero nel vostro aiuto e nella vostra voglia di insegnare.....
grazie a tutti

ale

[SuperStep]

se stai sviluppando questa applicazione secondo la metodologia object oriented quello che devi fare e' semplice, ma prima diciamo un po' di cose:

oltre al normale standard ER per la rappresentazione della base di dati, ne esiste un un po' piu avanzato chiamato EER, sostanzialmente aggiunge l'ereditarieta' alle tabelle, viste come se ogni tuple fosse un oggetto instanziabile.

adesso, supponiamo di avere due tabelle: persona, impiegato. con impiegato che estende persona. La relazione in questo caso e' di 1 a 1 (Un impegato e' una persona), quello che si fa' di buona norma e' inserire l'attributo id_persona in impiegato (questo serve nel caso che si debba creare una terza tabella e la relazione diventi 1 a N, aggiungendo poi id_persona a nuova tabella). Quando una tuple si collega ad un altra distinta non sovrapposta si chiama Disgiunzione (a divfferenza di quando si sovrappongono che si chiama overlapping).

Adesso, quello che puoi fare, e' creare una classe autenticazione che ti rilascia (tramite il polimorfismo) un oggetto di tipo User.

L'oggetto che l'autenticatore ti rilascera' avra' il metodo (DammiLaMiaHomePage per esempio), quindi, supponendo che l'autenticatore si chiami Auth, esce una cosa del Genere:

Codice: Seleziona tutto

if($user = Auth::attempt(credenziali)){
   Redirect::to($user->dammiLaMiaHomePage);
}
else{
    Redirect::error(403,"Credenziali Non Valide");
}

il mio e' un esempio molto banale, ma un buon punto di partenza.

Adesso vediamo come gestire il "prelievo di un utente".

Supponendo esisti per forza una relazione fra Utente e una fra questi (Amministratore, Manager, ..., Normal).

quello che devi fare e' cercare questa relazione sequenzialmente (prima in amministratore, poi in manager, ..., poi in Normal).

Quando trovi la corrispondenza, hai trovato l'appartenenza, e trovando l'appartenenza conosci il tipo di utente che devi istanziare, quindi una cosa del genere:

Codice: Seleziona tutto

if($id = getIdFromUserTable(credenziali) == false) return false;

if(FinderUser::isAmministratore($id){
  $user = new Amministratore;
  ... riempi campi ...
}elseif(FindUser::isManager($id){
  ...
} elseif ...

il tuo metodo nel mettere un "enum" che specifica il tipo presuppone che in futuro non puoi piu' fare aggregazioni multiple, e' vantaggioso dal punto di vista della velocita' di eseguzione (N query in meno nel caso in cui la corrispondenza sia l'ultima trovata), ma credo sia svantaggioso pensarla in questi termini...

supponendo che un utente possa ricoprire piu' ruoli e ci siano gerarchie multiple in questo caso puo' essere gestito, nell'altro no.

[abranca]

ciao superstep grazie mille per la spiegazione davvero tecnica.
io sono ad un livello di base di php e mysql......

posso darti delle info in più sulla struttura del db.
contiene momentaneamente 3 tabelle che ti descrivo con le colonne presenti:
TAB utenti
|->id
|->user
|->password (ho utilizzato sha1)
|->ruolo (contiene l'id della tabella ruolo)

TAB ruoli
|->id
|->ruolo (contiene la descrizione es. admin, dipendente, cliente)

TAB anagrafica
|->id
|->idutente (riprese dalla tabella utenti)
|->nome
|->cognome
|->indirizzo
ecc......

sto facendo solo delle prove per cui tutto è modificabile e editabile. non è un progetto già pronto o definitivo per qualche persona.

per quanto riguarda la login dicevo è un semplice form con un paio di controllini

Codice: Seleziona tutto

<body>
        <?php
        /* INCLUDO I FILE DI CONFIGURAZIONE */
        include("../config.php");
        
        /* DISTRUGGO PRECEDENTI SESSIONI RIMASTE ATTIVE */
        session_destroy();
        
        
        ?>
        
        <div id="container">
                
                
                
                
            <div id="head">
                
                
                 
            </div>
            
            
            <div id="menu">
                
            </div>
            
            
            <div id="main">
                
                <form action="<?php $_SERVER['PHP_SELF']; ?>?login=ok" method="POST">
                <table id="tabLogin" cellpadding="5" style="position:absolute;top:30%;left:30%">
                    <thead> 
                        <tr>
                            <th colspan="2">
                            <?php
                            /* INCLUDO LO SCRIPT PER IL LOGIN */
                            /* RECUPERO I DATI UTENTE */
                                $user = $_POST['user'];
                                $pass = $_POST['pass'];
                                $risp = "ok";
                                $login = $_GET['login'];

                            /* ATTESA PER RISPOSTA SCRIPT */
                                if ( $login == $risp ) {

                            /* CONTROLLO CHE I CAMPI SIANO COMPILATI */   
                                if ( $user && $pass ) {

                            /* EFFETTUO ESCAPE DEI CARATTERI */
                                $user = mysql_real_escape_string($_POST['user']);
                                $pass = mysql_real_escape_string(sha1($_POST['pass']));

                            /* DICHIARO LA QUERY PER IL LOGIN */
                                $qryLogin = "SELECT * FROM $tabUtenti WHERE user = '$user' AND password = '$pass'";
                                $res = mysql_query($qryLogin) or die (mysql_error());

                            /* VERIFICO I DATI NELLA TABELLA DEL DATABASE E CREO LA SESSIONE */
                                if ( $res == TRUE ) 
                                {
                                while($row = mysql_fetch_array($res)) 
                                {
                                    session_start();
                                    $idutente = $row['id'];
                                    $nomeutente = $row['user'];
                                    $_SESSION['id_utente'] = $idutente;
                                    $_SESSION['nome_utente'] = $nomeutente;

                            /* EFFETTUO IL REDIRECT */
                                header("location: main.php");
                                }
                                } 
                                echo  "<div id='messaggi'>!!! USERNAME O PASSWORD ERRATI !!!</div>";



                                } else {echo "<div id='messaggi'>!!! CAMPI NON COMPILATI !!!</div>";}}?>
                            </th>
                        </tr>
                        <tr>
                            <th colspan="2">ACCESSO AL GESTIONALE</th>
                        </tr>
                        
                    </thead>
                    <tbody align="center">
                        <tr>
                            <td>username</td>
                            <td><input type='text' name='user'><br></td>
                        </tr>
                        <tr>
                            <td>password</td>
                            <td><input type='password' name='pass'><br></td>
                        </tr>
                        <tr>
                            <td colspan="2"><input id="btn" type="submit" value="LOGIN" name="login" /></td>
                        </tr>
                        <tr>
                            <td colspan="2" id="data">Data: <?php echo date("d-m-y"); ?></td>
                        </tr>
                    </tbody>
                </table>
                </form>
            
            </div>

il file config.php contiene ovviamente i dati del server, del db, delle tabelle e la connessione.
non so se sto facendo nella maniera corretta oppure c'è un sistema differente.

tornando alla tua risposta, con la seconda parte di codice che mi hai postato

Codice: Seleziona tutto

if($id = getIdFromUserTable(credenziali) == false) return false;

if(FinderUser::isAmministratore($id){
  $user = new Amministratore;
  ... riempi campi ...
}elseif(FindUser::isManager($id){
  ...
} elseif ...

identificato il "gruppo di appartenenza" tramite l'id posso sfruttare il Redirect::to per il redirect alla pagina interessata.
giusto? spero di aver capito correttamente il tuo aiuto prezioso!

[SuperStep]

si ok, allora, leggendo un po' il tuo codice mi accorgo che stai sfruttando la programmazione procedurale, quindi quello che ti ho detto e' opinabile...

alcuni consigli che ti do subito cosi' non si perdono nel discorso:
1) Per tenere ordinato un progetto conviene separare l'interfaccia utente dall'implementazione del server, vale a dire
codice interfaccia lancia funzione che si trova in un file di logica applicativa del server.

2) Per tenere ancora piu' ordinato un progetto conviene utilizzare un pattern architetturale (pero' si fa nella programmazione ad oggetti, dai una spulciata ad MVC, e' il piu' diffuso nello sviluppo web).

3) l'indentazione e' una cosa fondamentale, non preoccuparti di sprecare linee, migliore visibilita' decrementa il numero di possibili errori.

----------------------

tornando al progetto ed utilizzando un approccio procedurale:

session_start() deve essere utilizzato prima di qualsiasi output, vale a dire:

Codice: Seleziona tutto

<?php session_start(); ?>
<html> ... </html>

dividiamo le tabelle in 4 separate, quindi:
Utenti(id, ... );
Admins(id, utente_id, ...)
Dipendenti(id, utente_id, ...)
Clienti(id, utente_id, ....)

Supponendo adesso di avere queste due tuple

Codice: Seleziona tutto

Dalla tabella Utenti:
(id, nome, cognome, ...[username e password e vari])
...
1, mario, rossi, ....
...

Dalla tabella Clienti
(id, utente_id, numero_acquisiti, ...)
...
23, 1, 500, ... 
...

ti rendi conto che unendo la tabella Utenti con Clienti con condizione di selezione che (utenti.id = Clienti.id_clienti) ottieni tutti i clienti, ed una tabella che compone i vari campi, in particolare (prendendo tutti i campi)

Codice: Seleziona tutto

Dalla tabella Utenti+Clienti (utenti.id = Clienti.id_cliente)
(utenti.id, utenti.nome, utenti.cognome, ..., clienti.id, clienti.id_utente, clienti.numero_acquisti)
...
1,mario, rossi, ..., 23, 1, 500
...

come vedi avremo che mario rossi ha fatto 500 acquisti, questo serve perche' in genere un certi tipo di "oggetto" viene sempre trattato allo stesso modo (se abbiamo un utente, di qualsiasi tipo sia admin, dipendenti, ...) esso conservera' di base le stesse informazioni (nome, cognome, ...)

quindi, potremo riutilizzare le stesse funzioni (e con gli oggetti, potremmo anche fare cose di piu' alto livello)

(Se un domani avrai una nuova tabella Assistenti, tutta la programmazione base (quella per gli utenti) e' gia' fatta, ed il codice da modificare sara' veramente poco)

adesso, ti consiglio di wrappare tutte quelle funnzioni in un unico file che contiene funzioni analoghe,

quindi,

Codice: Seleziona tutto

//file auth.php, collezione di funzioni per l'autenticazione degli utenti:

/**
 * la funzione esegue la login sulla tabella utenti
 * @returns boolean or int false se l'autenticazione non e' riuscita, id_utente in caso di autenticazione riuscita
 */
function auth($username, $password){
   bla bla bla
}

/**
 * la funzione restituisce un array associativo contentente le informazioni dell'utente
 * @return array Mixed Array
 */
function getUser($id){
 bla bla bla
}

//Quindi da getUser esce un array del genere
//array(nome => mario, cognome => rossi, homePage => http://miosito/tipoUtente, ... parametri aggiunti in base al tipo);

/**
 * resstituisce un header Redirect al chiamante
 * 
 */
function userLoginRedirect(array $user){
 header('location: $user[homePage]');
}

adesso considerando che sono scritte un po' male, (sono state fatte di fretta), un approccio del genere ti permette una maggiore "manutenibilita'" del software...

tornando alla domanda

identificato il "gruppo di appartenenza" tramite l'id posso sfruttare il Redirect::to per il redirect alla pagina interessata.
giusto? spero di aver capito correttamente il tuo aiuto prezioso!

tramite il gruppo puoi fare qualsiasi cosa, come ad esempio una funzione che controlla l'autenticita' dell'utente prima di rilasciare la pagina

Codice: Seleziona tutto

//pagina Admin
if(filterSecurityAdmin($utente) == true){
 //pagina
}else{
 badUserRedirect('non sei un admin')
}

adesso con la programmazione ad Oggeti (che ti consiglio di utilizzare per un progettino complesso) risparmierai MOLTISSIMA (e non scherzo) fatica nel creare la tua applicazione,
inoltre, l'utilizzo di un framewrok (Laravel, Symfony, Zend, e chi piu ne ha piu ne metta) ti consente di gestire (senza partire da zero) tutte quelle strutture di dati che dovresti crearti a mano

(Molti framework hanno gia' un modulo per l'autenticazione, filtri, la funzione per modificare header http, Mail, FTP, SSH, Queue asincrone di eseguzione di codice, e poi boh)

quindi ti lascio in allegato questo framework (Studia almeno le basi dell'object orientation, non e' difficile, basta un buon manuale chiaro, anche free, in una settimana si padroneggia abbastanza bene)
http://laravel.com/

dagli un'occhiata utilizza MVC, possiede gia i moduli per l'autenticazione, un Template Manager (che rottura fare le view senza), Classi per l'interrogazione di database (guarda la riga 9 del codice nella home di laravel)
e molto molto altro, se ancora non e' chiaro qualcosa, chiedi pure.

[abranca]

grazie mille per le delucidazioni. sto dando uno sguardo alla guida italiana di laravel

Laravel Guida Italiana

ho sentito parlare anche di zend framework.
tu quale mi consigli tra i due?

ricorda che sono un neofita di php mysql ecc quindi sto partendo da zero.
ho fatto un corso online ma non sono rimasto molto soddisfatto, infatti alcune cose non sono molto chiare!

grazie nuovamente per i consigli utilissimi che mi hai dato!

[SuperStep]

non e' proprio semplice consigliare un framework, dipende molto dalla persona/team che lo utilizza...

Personalmente non mi sono mai trovato a dover sviluppare una grossa applicazione con zend, quindi conosco solo la "teoria", personalmente mi piace laravel perche' utilizza composer come gestore dipendenze/gestore "inclusioni"
e sinceramente ci si potrebbe fermare ad utilizzare anche solo composer e crearsi il proprio framework... ma trovo che laravel sia scritto e seguito molto bene, senza contare che e' molto nuovo, dalla versione 4 che e' stato totalmente ristrutturato funziona molto bene, ma senza le basi della programmazione Object Oriented nessuno dei due ti sara' utile.

Se non hai mai visto la programmazione object oriented io partirei prima da una base teorica che si scinde dal linguaggio di programmazione, cercando di apprendere questi concetti:

Codice: Seleziona tutto

classe,
oggetto,
istanza,
attributo,
metodo,
modificatori d'accesso,
interfaccia,
ereditarieta',
sovrascrittura (Overwrite)
sovraccarico degli operatori (overload)
polimorfismo.

per cominciare, per poi spostarsi su qualche cosa di piu' "complicato" combinando queste cose.

nel frattempo cerco magari un video tutorial grafico che cerca di dare un idea di questi concetti, alla "dummies", credo che siano fantastiche per iniziare...

dammi un attimo che trovo qualcosa di adatto.

[SuperStep]

questo video sembra abbastanza semplice, (e in inglese purtroppo, ma si capisce bene dalle illustrazioni dinamiche)

https://www.youtube.com/watch?v=lbXsrHGhBAU

[abranca]

grazie per le risposte e per il video.
si in effetti la parte della programmazione ad oggetti dovrei impararla non a livello superficiale ma approfondirla.

ho trovato questo sito, lo posto per chiedere se può essere una buona partenza e perchè magari fa comodo anche ad altri.

php learn

contiene dalle basi alla programmazione ad oggetti alla realizzazione di applicazioni.
secondo te è una buona base?

[SuperStep]

un manuale sarebbe meglio!

ti consiglio questo: PHP 5 Power Programming.

è in inglese, ma è spiegato molto bene! =)

[abranca]

grazie mille!
lascio il post in sospeso in quanto sto andando off toipc......


posso contattarti in privato nel caso di altre delucidazioni e/o curiosità?
sei stato davvero molto disponibile!

[jackynet92]

Non esiste sospeso, i topic sono o risolti oppure no, rimuovilo dal titolo.

[SuperStep]

grazie mille!
lascio il post in sospeso in quanto sto andando off toipc......


posso contattarti in privato nel caso di altre delucidazioni e/o curiosità?
sei stato davvero molto disponibile!

se sono cose generali, il regolamento vorrebbe che sia creato un post qui sul forum, in modo da aiutare gli altri...

ma se sono cose piu' "precise" puoi contattarmi certo.

[jackynet92]

Ricordo che il supporto tramite MP è vietato.

[eaghezzi]

grazie mille per le delucidazioni. sto dando uno sguardo alla guida italiana di laravel

Laravel Guida Italiana

ho sentito parlare anche di zend framework.
tu quale mi consigli tra i due?

ricorda che sono un neofita di php mysql ecc quindi sto partendo da zero.
ho fatto un corso online ma non sono rimasto molto soddisfatto, infatti alcune cose non sono molto chiare!

grazie nuovamente per i consigli utilissimi che mi hai dato!

diciamo che sono completamenti diversi e servono a scopi diversi

laravel è un orm con tools di gestione del db dovrebbe essere utilizzato per gestire l'accesso ai dati dell'applicazione


zend è un framework che applica il pattern mvc per uno stile disviluppo strutturato

entrambi richiedono un'ottima conoscenza della programmazione oop, fossi in te incomincerei da quella.

[SuperStep]

grazie mille per le delucidazioni. sto dando uno sguardo alla guida italiana di laravel

Laravel Guida Italiana

ho sentito parlare anche di zend framework.
tu quale mi consigli tra i due?

ricorda che sono un neofita di php mysql ecc quindi sto partendo da zero.
ho fatto un corso online ma non sono rimasto molto soddisfatto, infatti alcune cose non sono molto chiare!

grazie nuovamente per i consigli utilissimi che mi hai dato!

diciamo che sono completamenti diversi e servono a scopi diversi

laravel è un orm con tools di gestione del db dovrebbe essere utilizzato per gestire l'accesso ai dati dell'applicazione


zend è un framework che applica il pattern mvc per uno stile disviluppo strutturato

entrambi richiedono un'ottima conoscenza della programmazione oop, fossi in te incomincerei da quella.

laravel integra Symfony, al massimo potremmo dire che Eloquent (una classe di Laravel) e' un ORM, ma definire laravel un ORM mi sembra un'offesa.