Forum PHP.pl

Forum PHP.pl > Forum > Przedszkole

Reply to this topic

Start new topic

[MySQL][PHP]Logowanie 2-etapowe (projekt)

gloweres Zobacz profil	10.11.2020, 17:15:35 Post #1
Grupa: Zarejestrowani Postów: 20 Pomógł: 0 Dołączył: 29.08.2020 Ostrzeżenie: (0%)	Hej, zaprojektowałem proste logowanie 2-etapowe (na maila przychodzi kod do logowania po wpisaniu hasła). Logowanie to jest używane tylko przez 2 osoby ale do bardzo wrażliwych danych więc mam następujące pytanie: czy jest bezpieczne? Może popełniłem jakiś błąd który może powodować "włam"? Dzięki z góry za odpowiedź login.php [PHP] pobierz, plaintext <?php session_start(); require 'dbsoft.php'; $password = $_POST['password']; $email = htmlentities($_POST['email'], ENT_QUOTES, "UTF-8"); $sekret = "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"; $sprawdz = file_get_contents('https://www.google.com/recaptcha/api/siteverify?secret='.$sekret.'&response='.$_POST['g-recaptcha-response']); $odpowiedz = json_decode($sprawdz); if ($odpowiedz->success==false) { $_SESSION['e_bot']="Potwierdź, że nie jesteś botem!"; header('Location: ../login.php'); exit(); } $sql = 'SELECT * FROM account WHERE email=?'; $statement = $connection->prepare($sql); $statement->execute([$email]); $oz = $statement->rowCount(); if($oz>0){ $row = $statement->fetchAll(PDO::FETCH_OBJ); foreach($row as $rows): $password_base = $rows->password; $email = $rows->email; $id_base = $rows->id; endforeach; if (password_verify($password, $password_base)) { $_SESSION['verify'] = true; $_SESSION['id_session'] = $id_base; function random(int $i) { return substr(str_shuffle(str_repeat($x='0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ', ceil($i/strlen($x)) )),1,$i); } $code = random(35); $now = time() + 900; $time = date("Y-m-d H:i:s"); $sql = "INSERT INTO verify_code (id_user, code, date, status_code) VALUES (?, ?, ?, ?)"; $connection->prepare($sql)->execute([$id_base, $code, $now, 0]); $message="Kod do weryfikacji:\n\n$code\n\nWiadomosc zostala wygenerowana automatycznie: $time"; $sender="From: domena.pl"; @mail($email, "Kod weryfikacyjny", $message, $sender); unset($_SESSION['error']); $statement = null; $connection = null; header('Location: verify.php'); } else { $_SESSION['error'] = '<span style="color:red">Nieprawidłowy login lub hasło!</span>'; $statement = null; $connection = null; header('Location: ../login.php'); } } else { $_SESSION['error'] = '<span style="color:red">Nieprawidłowy login lub hasło!</span>'; $statement = null; $connection = null; header('Location: ../login.php'); } $statement = null; $connection = null; ?> [PHP] pobierz, plaintext verify_check.php: [PHP] pobierz, plaintext <?php session_start(); if (!isset($_SESSION['verify'])) { header('Location: ../login.php'); exit(); } if(empty($_POST["code"]) \|\| !isset($_POST["code"])){ $_SESSION['error'] = '<span style="color:red">Nie podano kodu</span>'; header('Location: verify.php'); } $code = htmlentities($_POST["code"], ENT_QUOTES, "UTF-8"); require '../database_connect/dbsoft.php'; $sql = 'SELECT * FROM verify_code WHERE code=?'; $statement = $connection->prepare($sql); $statement->execute([$code]); $row = $statement->fetchAll(PDO::FETCH_OBJ); foreach($row as $rows): $id_user = $rows->id_user; $date = $rows->date; $code_base = $rows->code; $status_base = $rows->status_code; $ide = $rows->id; endforeach; $now = time(); if($status_base == 0){ if($code_base == $code){ if($_SESSION['id_session'] == $id_user){ if($now <= $date){ $_SESSION['admin'] = true; $st = 1; $sql = "UPDATE verify_code SET status_code=? WHERE id=?"; $statement = $connection->prepare($sql); $statement->execute([$st, $ide]); unset($_SESSION['verify']); $statement = null; $connection = null; header('Location: ../../'); exit(); }else{ echo 'Czas minał'; } }else{ echo 'To nie ty!'; } }else{ echo 'Nieprawidłowy kod'; } }else{ echo 'Kod został zużyty'; } [PHP] pobierz, plaintext Jeśli jest dobrze to proszę też o odpowiedź Ten post edytował gloweres 9.11.2020, 03:00:50

SmokAnalog Zobacz profil	10.11.2020, 18:49:34 Post #2
Grupa: Zarejestrowani Postów: 1 707 Pomógł: 266 Dołączył: 3.07.2012 Skąd: Poznań Ostrzeżenie: (0%)	Popraw wcięcia.

Pyton_000 Zobacz profil	10.11.2020, 20:58:00 Post #3
Grupa: Zarejestrowani Postów: 8 068 Pomógł: 1414 Dołączył: 26.10.2005 Ostrzeżenie: (0%)	jedynie bym usuwał użyte kody, nie ma sensu ich trzymać. Poza tym da się żyć, ale bez composera co to za życie

gloweres Zobacz profil	10.11.2020, 21:41:13 Post #4
Grupa: Zarejestrowani Postów: 20 Pomógł: 0 Dołączył: 29.08.2020 Ostrzeżenie: (0%)	Cytat(Pyton_000 @ 10.11.2020, 20:58:00 ) jedynie bym usuwał użyte kody, nie ma sensu ich trzymać. Poza tym da się żyć, ale bez composera co to za życie Postanowiłem przechowywać je w bazie żeby mieć logi kto kiedy się logował (bo zapisuje id użytkownika, datę zalogowania oraz czy kod został wykorzystany)

gino Zobacz profil	10.11.2020, 22:54:23 Post #5
Grupa: Zarejestrowani Postów: 324 Pomógł: 52 Dołączył: 18.02.2008 Ostrzeżenie: (0%)	można by się przyczepić jeszcze do generowania samych kodów, istnieje prawdopodobieństwo powtórzenia się kodu, więc albo jak Pyton pisał usuwać, albo jakiś mocniejszy algorytm np GUID

dublinka Zobacz profil	11.11.2020, 11:20:39 Post #6
Grupa: Zarejestrowani Postów: 594 Pomógł: 66 Dołączył: 22.02.2008 Skąd: Dublin Ostrzeżenie: (0%)	Ja jeszcze przed samym przypisaniem sesji wygenerowalbym nowe id sesyjne -------------------- https://websitebeaver.com/prepared-statemen...t-sql-injection

Pyton_000 Zobacz profil	11.11.2020, 11:24:04 Post #7
Grupa: Zarejestrowani Postów: 8 068 Pomógł: 1414 Dołączył: 26.10.2005 Ostrzeżenie: (0%)	Cytat(gloweres @ 10.11.2020, 21:41:13 ) Postanowiłem przechowywać je w bazie żeby mieć logi kto kiedy się logował (bo zapisuje id użytkownika, datę zalogowania oraz czy kod został wykorzystany) Sam kod powinien mieć możliwy krótki czas życia np. 15min. Do logowania możesz mieć oddzielną tabelkę z historią i tam możesz sobie zapisywać ID usera, datę, i czy udane logowanie czy nie. Wtedy możesz nawet wykrywać że ktoś chce sobie powłamywać się. Co do kolizji kodów wspominany przez @gino to prawda. jest libka do php do generowania UUIDv4 (najbardziej randomowy) https://github.com/ramsey/uuid Ale jesli to jest taki prosty kod jak go pokazujesz to nie ma sensu szaleć.

dublinka Zobacz profil	11.11.2020, 11:25:07 Post #8
Grupa: Zarejestrowani Postów: 594 Pomógł: 66 Dołączył: 22.02.2008 Skąd: Dublin Ostrzeżenie: (0%)	Cytat(gino @ 10.11.2020, 21:54:23 ) można by się przyczepić jeszcze do generowania samych kodów, istnieje prawdopodobieństwo powtórzenia się kodu Z takim ciagiem praktycznie niemozliwe -------------------- https://websitebeaver.com/prepared-statemen...t-sql-injection

viking Zobacz profil	11.11.2020, 12:04:30 Post #9
Grupa: Zarejestrowani Postów: 6 380 Pomógł: 1116 Dołączył: 30.08.2006 Ostrzeżenie: (0%)	Włącz sobie jeszcze pełne raportowanie błędów i popraw wszystko. Tak logicznie robisz też insert kodu który za chwilę może się wywalić na mail() i nic z tym nie robisz np rollback transakcji. -------------------- Odpowiedzi na często zadawane pytania: Konfiguracja serwera Apache + PHP 7 pod Windows \| Kodowanie znaków na stronach www \| PHPTAL w Zend Framework \| Programowanie obiektowe w PHP \| PDO uniwersalnym sposobem na obsługę baz danych \| Kurs PHP (część 1): Podstawowy opis języka

« Następny starszy · Przedszkole · Następny nowszy »

Reply to this topic

Start new topic

1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Standardowy · Przełącz na: Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Aktualny czas: 21.08.2025 - 10:00

Powered By IP.Board © 2025 IPS, Inc.
All changes by PHP.pl Administrators

Hosting zapewnia

NQ.pl hosting, trac, svn