Mysqli Object-Oriented e PDO

 https://supunkavinda.blog/php/mysqli-prepared-statements 

https://www.w3schools.com/php/php_mysql_select_where.asp

Projeto - login na barra nav

Se o utilizador não tem a sessão ativa, aparece o botão LOGIN, caso contrário, aparecerá o botão LOGOUT.

SEGURANÇA DE PASSWORDS

A forma mais segura de armazenar senhas numa base de dados é através da utilização de funções de criptografia em PHP. 

Algoritmos de hash: 

          função md5 (32 caracteres) e função sha1(40 caracteres)  e password_hash (60 caracteres)

É desaconselhado usar a função md5 pois na internet existem tabelas que ligam o valor original ao  hash! e sha1 It is not recommended to use this function to secure passwords  

RECOMENDADO a utilização da função password_hash

Para verificar se as passwords são iguais deve-se utilizar a função password_verify

password_verify(string $password, string $hash): bool

REGISTAR UTILADOR NA TABELA DA BD

 

            

LOGIN

DADOS DA TABELA users DA BASE DADOS (hash da password - função sha1)

Dados inseridos no formulário não são iguais aos da tabela users pelo que vai dar erro "Os dados introduzidos são inválidos"

Com a introdução de dados de login corretos, a página é redirecionada (neste caso para index.php) e o botão passa a LOGOUT

Restante código (formulário)

FUNÇÕES HASH:  sha1  

Apesar de não ser tão segura é apresentado exemplo da sua utilização

PHP - HASH e htmlspecialschars

https://bdprogramacao.blogspot.com/2021/11/php-new.html

 

Técnicas para Evitar Ataques 

https://www.php.net/manual/pt_BR/security.database.sql-injection.php

Esses ataques  baseiam-se principalmente em explorar falhas no código escrito sem se preocupar com segurança. Nunca confie em nenhum tipo de entrada, especialmente aquela que vem do lado do cliente, mesmo que venha de um combobox, um campo de entrada escondido (hidden) ou um cookie. O primeiro exemplo mostra como uma consulta inocente pode causar desastres.

• Nunca conecte à base de dados como um super utilizador ou como o dono da base de dados. Use sempre utilizadores personalizados com privilégios bem limitados.
• Use declarações preparadas com variáveis associadas. Eles são fornecidos pelo PDO, por MySQLi e por outras bibliotecas.
• Verifique se a entrada fornecida tem o tipo de dados esperado. O PHP tem uma ampla gama de funções de validação de entrada, desde as mais simples encontrado em Funções de variável e em Funções de tipo de caracter (por exemplo, is_numeric(), ctype_digit() respectivamente) e até mesmo com suporte de Expressões regulares compatíveis com Perl

• Se a aplicação espera por entradas numéricas, considere verificar os dados com a função is_numeric(), ou silenciosamente mudar o seu tipo usando settype(), ou usar a representação numérica usando a função sprintf().

ATAQUES SQL INJECTION 

Cross-Site Scripting (XSS)

Declarações preparadas com variáveis associadas. Eles são fornecidos pelo PDO, por MySQLi e por outras bibliotecas.

https://www.php.net/manual/pt_BR/mysqli.quickstart.prepared-statements.php 

utilização de funções

 mysqli_prepare

mysqli_bindparam

mysqli_execute

 

Operações de base de dados em PHP são uma coisa muito crucial que é especialmente necessária em operações CRUD (Create; Read; Update, Delete)

 
PDO  

PDO pode funcionar em 12 sistemas de base de dados diferentes, enquanto o MySQLi funciona apenas com base de dados MySQL.

O PDO (PHP Data Objects) é uma extensão em PHP que fornece uma camada de abstração de acesso a base de dados.

Existem duas maneiras de se conectar a uma base de dados usando PHP: 

- MySQLi (“i” stands for improved)

- PDO (PHP Data Objects)

Conexão com o servidor MySQL

• MySQLi Procedural

  $con = mysqli_connect($host, $username, $senha, $dbname);

• Estilo MySQLi Object-Oriented 

  $con = new mysqli($host, $username, $senha, $dbname)

• PDO

  $con = new PDO("mysql:host=$host;dbname=$bdname",$username,$senha); 

Execução de consultas

• MySQLi Procedural

  mysqli_query($con, $query)

• MySQLi Object-Oriented

  $con->query($query);

• PDO

  $stmt = $con->prepare($query);
  $stmt->execute();

Fechar Conexão

• $con->close();

Abordagem MySQLi procedural:

Abordagem MySQLi Orientada a Objetos:

CREATE TABLE `Student` (
  `NIF` int(13) NOT NULL,
  `Name` varchar(255) NOT NULL,
  `City` varchar(255) NOT NULL,
  PRIMARY KEY (`NIF`)
);

Abordagem PDO:

Os programadores orientados a objetos preferem o PDO devido à sua compatibilidade com um grande número de bases de dados.

FUNÇÕES DE RECOLHA/BUSCA de DADOS

PDO: O PDO tem muitas instruções embutidas que ajudam nesses casos.

• PDOStatement::fetchAll(): Retorna o resultado na forma de um array, contendo todas as linhas do resultado.  (mais usada)

Segurança: injeções de SQL para interromper o base de dados (ver)

---------------------------------------------------------------------------------------

Os benefícios reais do PDO são:

• segurança ( declarações preparadas utilizáveis )
• usabilidade (muitas funções auxiliares para automatizar operações de rotina)
• reusabilidade (API unificada para acessar vários bancos de dados, do SQLite ao Oracle)

consultar  https://phpdelusions.net/pdo#why

------------------------------------------------------------------------------

Listar dados da base de dados em PHP PDO 

CREATE TABLE IF NOT EXISTS `students` (

  `nif` int(13) NOT NULL ,

  `name` varchar(100) NOT NULL,

  PRIMARY KEY (`nif`)

) ENGINE=InnoDB DEFAULT CHARSET=utf8 COLLATE=utf8_general_ci;

Differences between MyISAM and InnoDB

InnoDB is more stable, faster, and easier to set up; it also supports transactions

INSERT INTO `students` (`nif`, `name`) VALUES (133333, 'Rui Jorge'), (12222, 'Ana Rita'), (12142, 'Justino Paz');

MANUAL PDO  

                   https://paginas.fe.up.pt/~jlopes/teach/2011-12/SIBD/foils/bib_php/