Forum PHP.pl

Witam , napisałem sobie skrypt logowania i nie wiem czemu ale wydaje mi się, że jest strasznie cienko zabezpieczony , tzn jest to mój drugi skrypt (po próbach ) i nie spodziewam się skryptu nie do obejścia ale takiego chociaż dość dobrego , możecie zerknąć na to i dać swoją opinie ? (tylko bądźcie wyrozumiali dla mnie, proszę (wiem, że jest do tego dział ale ja bym w razie czego chciał jakąś pomoc co do tego skryptu, tzn jakieś inne sposoby czy coś ) )

[PHP] pobierz, plaintext 
 
<?php
if(!isset($_REQUEST['action'])){
header('Location: index.php?page=news');
}else{
switch($_REQUEST['action']){
   case 'Zaloguj':
     if(!isset($_POST['login']) OR !isset($_POST['haslo']) OR strlen($_POST['login'])<1 OR strlen($_POST['haslo'])<1){
	 header('Location: index.php?page=news');
	 }else{
	  if(preg_match('/^[a-zA-Z0-9\_\-]{3,20}$/D', $_POST['login']) AND preg_match('/^[a-zA-Z0-9]{4,20}$/D', $_POST['haslo'])){
	  include 'conn.php';
	  $login=stripslashes($_POST['login']);
	  $haslo=stripslashes($_POST['haslo']); 
/// Tutaj dodałem według wskazówek szanownych forumowiczów przepuszczanie przez sha1  hasła :) 
	  $sql="SELECT * FROM user WHERE login='".$login."' AND haslo='".$haslo."' LIMIT 1 ";
	   $result=mysql_query($sql)
	      or die(mysql_error());
		   unset($sql);
	      if($row=mysql_fetch_array($result)){
	 session_start();
	 $_SESSION['login']=$row['login'];
	 $_SESSION['lvl_acc']=$row['lvl_acc'];
	 	$sql="UPDATE user  SET ostatnia_wiz='".date("Y-m-d H:i:s", time())."' " .
										"WHERE id=".$row['id']." ";
										mysql_query($sql)
										  or die(mysql_error());
										  echo '<div id="kom"><div id="tab">Komunikat</div>';
										  echo 'zalogowano<br><br>';
										  echo '<a href="index.php?page=news">Powrót na stronę głowną </a>';
	                                      echo '</div>';
	 }else{
	  echo '<div id="kom"><div id="tab">Komunikat</div>';
	  echo 'Złe hasło bądź login<br> ';
	  echo '<a href="index.php?page=news">Powrót na stronę głowną </a>';
	  echo '</div>';
	  }
	  }else{
	  echo '<div id="kom"><div id="tab">Komunikat</div>';
	  echo 'Złe dane<br> ';
	  echo '<a href="index.php?page=news">Powrót na stronę głowną </a>';
	  echo '</div>';
	  }
	 }
	break;
	case 'Wyloguj':
	session_start();
	session_unset();
	session_destroy();
	echo '<div id="kom"><div id="tab">Komunikat</div>';
	echo 'Wylogowano<br>';
	echo '<a href="index.php?page=news">Powrót na stronę głowną </a>';
	echo '</div>';
	break;
       default:
        header('Location: index.php?page=news');
        break;
 
}
//koniec switch'a
}
?>
[PHP] pobierz, plaintext 

(To jest sam skrypt który otrzymuje dane z formularza, przetwarza i loguje )

Ten post edytował kamillo121 24.08.2009, 15:30:14

Zabezpiecz hasło funkcją md5

A czytałem w innych tematach tutaj, że w nowych skryptach tego się już raczej nie stosuje , ktoś to tak napisał, (jak znajde to podam link)


Ten post edytował kamillo121 24.08.2009, 14:55:00

Fifi209 dzięki , a takie pytanko, jak zastosuję to przy haśle to czy będzie w miarę bezpieczny ? czy jeszcze gdzieś są "dziecinne luki" ? (tylko błagam, nie odsyłaj mnie do tematu w php o bezpieczeństwie bo go czytałem )

Ten post edytował kamillo121 24.08.2009, 14:59:08

Jeśli mowa o hasłach to niekoniecznie musi być sha-1. Może być md5... byle miało salt Bez tego md5 mozna "wykoleić" używając "rainbow tables". Najbezpieczniej by było, gdybyś przy rejestracji do bazy wrzucił już zakodowane hasło i w sesji też je trzymał zakodowane. Porównać zawsze z bazą możesz wtedy i nie leci ono w postaci jawnej nigdzie. A sesje część danych przesyłają między stronami poprzez cookies. Jeśli znajdzie się tam też hasło w postaci jawnej to masz wtedy poważną lukę w bezpieczeństwie.

Czyli tak , narazie zmieniam przy rejestracji, że by wrzucało do bazy hasło przepuszczone przez sh1 , przy logowaniu zmieniam, żeby porównało hasło przepuszczone przez sh1 od formularza z tym z bazy , a teraz pytanie do ciasteczek ..... Na stronie nie potrzebny mi będzie dużo danych o użytkowniku które muszę często porównywać , jest to tylko login i lvl_acc , więc jest sens to pakować w ciasteczka ?

w jakim celu ma trzymać hasło w sesji ? login w zupełności wystarczy.

Ten post edytował sniffer32 24.08.2009, 15:22:00

No ja hasła, nigdzie nie potrzebuje , do indentyfikacji tylko potrzebuje loginu i lvl_acc , tylko ja jakoś nie chce się za bardzo w ciasteczka bawić ...
Myślę , że same sesje wystarczą nie ?
I powie ktoś wreście czy skrypt może być dość bezpieczny ? tylko teraz mam przepuszczane przez sha1 haslo jeszcze
Odpowiedzcie proszę i daje Wam spokój

Ten post edytował kamillo121 24.08.2009, 15:30:37

[PHP] pobierz, plaintext 
 
$hashPasswd = sha1($password.'tu wpisz co chcesz...');
 
[PHP] pobierz, plaintext 

przy rejestracji i logowaniu, tak zwana "sól".

znaczy że przy haśle otrzymanym od użytkownika przy funkcji sha1 mam coś swojego jeszcze wpisać ?
A mógłbyś wytłumaczyć po co to ?

a wiesz co to są "tęczowe tablice" ?

NIe ale przewertowałem na szybcika google i coś w stylu do odgadywania haseł w md5, sha1 idt ?



Ten post edytował kamillo121 24.08.2009, 15:42:08

a ta sol to może byc np :
$liczby = range(1,24);
$klucze = array_rand($liczby, 6);
I klucze wstawić za sól ?
Tylko że to w tablicy to potem tylko bym wstawił np klucze[1] za sól i tyle

Dzięki wszystkim , wiem, że pomoc udzielana mi to istna katorga ale kto pyta nie błądzi (to samo z używaniem google ) ..
Dzięki wielkei.. ( a jednak chyba nie może być losowa liczba bo wtedy nie porówna )

Ten post edytował kamillo121 24.08.2009, 15:47:38

a jak później porównasz hash z logowania z hashem z bazy ? sól musi być stała..

No już teraz jak spróbowałem tego użyć to już wiem, że sie nie da ...
Dzięki

Ten post edytował kamillo121 24.08.2009, 15:49:16

Ciastka przechowuja tylko nazwe sesji, nic wiecej, ale i tak haslo powinno sie przesylac juz zakodowane...

chcesz co przeładowanie sprawdzać w bazie czy wszystko się zgadza?

Sól, salt czy jakkolwiek to nazwać a o czym w poprzednim poście pisałem jest stałym dodatkiem do niejawnej wersji hasła czy co tam byś chciał kodować.
Są to ciągi znaków, które się dokleja do danej usera czy to na początek, koniec lub z obu stron i dopiero przeprowadza hashowanie. W ten sposób nawet słabe hasła można uczynić mocnymi. Sprawia to także, że znając czyjeś hasło i znając funkcje jakiej użyto nie wygenerujesz tego samego hasha. A znając hash i nawet gdybyś go rozgryzł do postaci jawnej, to nie wiesz która część w ciągu znaków jest prawidłowym hasłem usera. Tyle że sha-1, md5 i wiele innych jest algorytmami szyfrującymi jednostronnymi. A więc możesz zaszyfrować, ale nie ma funkcji deszyfrującej do nich. Ważne by sól była stała, bo inaczej hashe nie będą się zgadzały. Dlatego daje się do nich kombinacje liter małych i dużych, znaków by utrudnić "złamanie" hashy przez "tęczowe tabliczki"

Ze zmiennymi sesji... mae culpa... nie interesowałem się nigdy zbytnio czy są po stronie serwera czy klienta. I tak zazwyczaj mialem wszystkie krytyczne dane w hashach

Co do sprawdzania to aż tak rygorystycznie nie trzeba, ale co jakiś czas można

Gdy zaś wspominałem o przechowywaniu w sesji loginu i hasła miałem na myśli sytuację, gdy akurat login nie musi być polem jednoznacznie identyfikującym. Tak naprawdę unikatowa jest kombinacja loginu i hasła i dopiero taki warunek trzeba sprawdzać pod kątem kolizyjności w bazie. Może być wielu userów o tym samym loginie ale różnych hasłach. Jedynie z wygody ustawia się na to pole wartość unique by sobie mniej roboty robić i nie wprowadzać zamieszania dla pozostałych użytkowników :] Czyli dla wygody nas, adminów, tak naprawdę, a nie dlatego, że tak musi być Oszczędza nam to dodatkowego sprawdzenia hasła i tyle Zmiana loginu, nawet na już istniejący, po założeniu konta w takim wypadku to pikuś i użytkownik sam to może zrobić, jedynie trzeba sprawdzać unikatowość kombinacji w formularzu zmiany loginu.