Laravel Türkiye Discord Kanalı Forumda kod paylaşılırken dikkat edilmesi gerekenler!Birlikte proje geliştirmek ister misiniz?

hashed password iptal etmek

egemen

Merhaba,
Kullanıcı girişini özelleştirdim,
password alanını db de hash yapmadan tutuyorum.
Login olurken password u hash kontrol etmeden nasıl doğrulayabilirim ?

$kimlik_bilgileri = $request->only('carikod', 'password');

#default password yerine web_sifre yi kontorl ederek giriş yapıypr.

if (Auth::guard('cari')->attempt($kimlik_bilgileri,$request->member))
{
	return redirect()->intended('/');
}
return redirect()->back()->withInput($request->only('carikod','remember'));

mgsmus

$user = User::where('carikod', $request->carikod)->firstOrFail();

if(Auth::guard('cari')->login($user, $request->remember)) {
 return redirect()->intended('/');
}

Bunu yapmanızın tek mantıklı açıklamasının istenildiğinde şifre sıfırlama yerine şifreye ulaşmak olduğunu düşünüyorum.
Eğer öyle ise password_plain diye users tablosuna bir alan ekleyip kullanıcı oluşturma/güncelleme sırasında oraya açık şifreyi yazdırmak daha kolay olacaktır.

elementaryos

LoginController içerisine üyelik için gereken her methodu AuthenticatesUsers trait'iinden alıp override ederseniz (üstüne tekrar yazarsanız ) . Kullanabilirsiniz. Burada attempt kullanmanıza gerek yok. O sadece kontrol methodu kendiniz if else ile ayrı aynı sonucu elde edebilrisiniz. Girilen şifre ile vt'deki uyuşuyorsa 1 döndür yoska 0
Son olarak registerController


 /**
 * Create a new user instance after a valid registration.
 *
 * @param array $data
 * @return \laravella\User
 */
 protected function create(array $data)
 {
 return User::create([
 'name' => $data['name'],
 'email' => $data['email'],
 'password' => Hash::make($data['password']), // <<<----------------- 
 ]);
 }

Okla gösterilen alan da kendi formatınıza uygun olarak örnek "md5(password)" ile şifreleme bile denemeyecek md5 ile kullanabilirsiniz ama bu ahlaki bir şey değil. Ayrıca veritabanınıza eriştiğinde o kişiler için tehdit çok daha fazla olacaktır. Şifre veritabanı filan da çıkar ondan. Başka yerlerde de kullanma ihtimalleri gözönüne alındığında. Küresel ölçekli firmalarda bile benzer kontroller var onların yapması bile yasak daha geçen twitter/facebook cezalar aldılar .
Hem de kaydolacak kişiye büyük bir hakaret.
Dolandırıcılık ile pek farkı yok gözümde. Hiçbir hazır cms'te şifrelerin yöneticiye açık olduğunu göremezsiniz. Elde etme amacınız neyse çözebileceğiniz çok fazla çözüm mevcuttur.
Zaten kendi sitenizde gediği kendi elinizle açtığınzıı söylememe gerek yok diye düşünüyorum.

elementaryos

Açık ifade edemediysem ekleyeyim onların şifrelenmesinin çok sebebi var.