System logowania opary o MySQL Opcje

[Strarus]

cześć:)
Chciałbym napisać system logowania oparty o mysql i sesje. Chciałbym się dowiedzieć na co muszę zwrócić uwagę podczas pisania takowego skryptu aby dany system był jak najbezpieczniejszy. Moja teoria napisania skryptu:
*login.php
- Sprawdza czy zostały przesłane dane (login i hasło). Jeśli tak: łączy się z bazą, wyciąga hasło z tabeli users gdzie login jest taki jak ten z POSTu. Jeśli wszystko się zgadza daję do sesji zmienną zalogowany, następnie przekierowuję na index.php (zabezpieczony przed wejściem bez sesji zalogowany). Jeśli nie są przesłane login i hasło pokazuje formularz z hasłem i loginem.
*logout.php
- Niszczę sesję zalogowany i przekierowuję na index.php
*index.php
- Sprawdzam czy jest sesja zalogowany jeśli tak - wyświetlam zawartość (u mnie będzie to system newsów) jeśli nie pokazuję link zaloguj i inne szczegóły strony.

Wszystko dobrze?? (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) Teraz jakich funkcji i gdzie ich użyć aby mój skrypt byłbezpieczny (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif)

[kyku]

moze to poczytaj (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

Temat: Bezpieczenstwo_skryptow_PHP
Temat: SQL_Injection_Insertion
Temat: podwojne_hashowanie_hasel

[Strarus]

Dzięki (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) Zaraz coś naskrobię to dam na forum, żebyście powiedzieli co jest źle (IMG:http://forum.php.pl/style_emoticons/default/haha.gif)

napotkałem na dylemat: chcę zarejestrować sesję ale w maualu jest napisane, że:

[PHP] pobierz, plaintext 
<?php
// Nie powinno się już używać session_register()
$barney = "Duży fioletowy dinozaur.";
session_register("barney");
 
// Od PHP 4.1.0 Preferowane jest użycie $_SESSION
$_SESSION["zim"] = "Najeźdźca z innej planety.";
 
// Stara metoda opiera się o $HTTP_SESSION_VARS
$HTTP_SESSION_VARS["spongebob"] = "Ma kwadratowe spodnie.";
?>
[PHP] pobierz, plaintext 

I teraz czego mam użyć (IMG:http://forum.php.pl/style_emoticons/default/haha.gif) ?? Znaczy $_SESSION['zalogowany']; czy session_register("zalogowany"); (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif)

[Mlodycompany]

użyj poprostu sesji (IMG:http://forum.php.pl/style_emoticons/default/biggrin.gif)

[PHP] pobierz, plaintext 
<?php
 
session_start();
 
reszta strony.
 
?>
[PHP] pobierz, plaintext 

Rozpoczecie sesji musi być na samym początku kodu. Nie może być przed tym nawet spacji. Potem dodajesz sobie do tablicy $_SESSION odpowiednie dane jakie chcesz i działasz dalej.

[Strarus]

Teraz proszę o ocenę tego systemu. Chodzi mi o bezpieczeństwo (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

http://strarus.cba.pl/testy/login.php

Jeśli coś jest źle, to proszę także napisać co muszę zrobić aby to naprawić.

aha:
login: test
hasło: pass

Ten post edytował Strarus 6.01.2009, 18:22:55

[Mlodycompany]

Jak na 1 rzut okiem jest ok. Daj kod to zobaczymy czy w kodzie nie ma jakiś luk.

[Strarus]

login.php

[PHP] pobierz, plaintext 
<?php session_start(); ?>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="pl" lang="pl">
<head>
      <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-2" />
      <meta name="robots" content="index" />
      <meta name="Author" content="Strarus" />
      <meta name="description" content="Tytuł strony" />
      <meta name="keywords" content="Słowa kluczowe" />
      <meta name="copyright" content="Copyright" />
      <link rel="shortcut icon" href="favicon.ico" />
      <link rel="stylesheet" type="text/css" href="style.css" />
      <title>Untitled</title>
</head>
 
<body>
<?php
 include ('db_connect.inc.php');
 if(!isset($_SESSION['zalogowany'])) {
   
 
 if(isset($_POST['login']) && !empty ($_POST['login']) && isset($_POST['password']) && !empty ($_POST['password'])) {
   $login_post = strip_tags($_POST['login']);
   $pass_post = strip_tags($_POST['password']);
   $dane = @mysql_query("SELECT * FROM users WHERE login='$login_post'");
  if (!$dane) {
    exit('Bład podczas wykonywania zapytania: ' . mysql_error() . '.');
  } else { 
    while ($row = mysql_fetch_array($dane)) {
    $v_password = $row['password'];
  }
 }
  if($pass_post == $v_password) {
    $_SESSION["zalogowany"] = true;
    echo 'Zalogowany! <a href="main.php">Strona główna</a>';
  } else {
    echo 'Złe hasło!';
  }
 } else {
   echo '<form action="login.php" method="post">
<table border="0">
 <tr>
  <td>Login:</td>
  <td><input type="text" name="login" maxlength="12"/></td>
 </tr>
 <tr>
  <td>Hasło:</td>
  <td><input type="password" name="password" maxlength="12"/></td>
 </tr>
</table>
<input type="submit" value="Zaloguj!" />
</form>';
 }
} else {
  echo 'Już jesteś zalogowany.<a href="main.php">Strona główna</a>';
}
?>
</body>
</html>
[PHP] pobierz, plaintext 

main.php

[PHP] pobierz, plaintext 
<?php session_start(); ?>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="pl" lang="pl">
<head>
      <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-2" />
      <meta name="robots" content="index" />
      <meta name="Author" content="Strarus" />
      <meta name="description" content="Tytuł strony" />
      <meta name="keywords" content="Słowa kluczowe" />
      <meta name="copyright" content="Copyright" />
      <link rel="shortcut icon" href="favicon.ico" />
      <link rel="stylesheet" type="text/css" href="style.css" />
      <title>Untitled</title>
</head>
<body>
<?
 
  if(isset($_SESSION['zalogowany'])) {
 echo 'Strona gdy jestem zalogowany. <a href="logout.php">Wyloguj!</a>';
} else {
  echo 'Strona gdy <b>nie</b> jestem zalogowany';
}
?>
</body>
</html>
[PHP] pobierz, plaintext 

logout.php

[PHP] pobierz, plaintext 
<?php session_start(); ?>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="pl" lang="pl">
<head>
      <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-2" />
      <meta name="robots" content="index" />
      <meta name="Author" content="Strarus" />
      <meta name="description" content="Tytuł strony" />
      <meta name="keywords" content="Słowa kluczowe" />
      <meta name="copyright" content="Copyright" />
      <link rel="shortcut icon" href="favicon.ico" />
      <link rel="stylesheet" type="text/css" href="style.css" />
      <title>Untitled</title>
</head>
<body>
<?
 
  if(isset($_SESSION['zalogowany'])) {
 unset($_SESSION['zalogowany']);
 echo 'Do zobaczenia! <a href="login.php">Zaloguj ponownie!</a>';
} else {
  echo '<a href="login.php">Zaloguj!</a>';
}
session_destroy();
?>
</body>
</html>
[PHP] pobierz, plaintext 

I jeszcze plik db_connect.inc.php ale jego chyba nie trzeba (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

[Mlodycompany]

Proponuje Ci zrobić takie zapytanie

[SQL] pobierz, plaintext 
SELECT * FROM `users` WHERE `login` = '".$login."' AND `haslo` = '".$haslo."'
[SQL] pobierz, plaintext 

To zapytanie sprawdza czy w bazie jest rekord gdzie login = login a haslo = haslo i zwraca rekord. Możesz sobie zabezpieczyć dodatkowo przed atakiem dodając: 

[PHP] pobierz, plaintext 
<?php
$query = mysql_query(zapytanie w/w);
 
$row = mysql_fetch_row($query);
 
if($row['login'] == $login AND $row['haslo'] == $haslo){
 
$zalogowany = true;
 
}
?>
[PHP] pobierz, plaintext 

i przy zmianie nazwy zmiennych posta dodać funkcję jeszcze addslashes();



Jak na mój gust logowanie będzie dosyć bezpieczne i funkcjonalne. Ja tak robię zawsze i działa wszystko (IMG:http://forum.php.pl/style_emoticons/default/biggrin.gif)

[Strarus]

Dzięki wielkie (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) A na jaki typ ataku był podatny mój skrypt? W jaki sposób można było przeprowadzić atak? Sprawdzałem tylko

Kod

'or 1=1

i % ale nie działały.

[Mlodycompany]

na SQL inject. % działają jeżeli w zapytaniu mamy LIKE. Jest to stosowane do wyszukiwarek. A i jeszcze jedno. Koduj sobie hasła w md5(); Jest mniejsze ryzyko włamania się na czyjeś konto.

[Strarus]

Nadal nie działa (IMG:http://forum.php.pl/style_emoticons/default/haha.gif)

[PHP] pobierz, plaintext 
<?php
if(isset($_POST['login']) && !empty ($_POST['login']) && isset($_POST['password']) && !empty ($_POST['password'])) {
 $login_post = addslashes(strip_tags($_POST['login']));
 $pass_post = addslashes(strip_tags($_POST['password']));
 $dane = mysql_query("select * from `users` where `login` = '" . $login_post . "' and `password` = '" . $pass_post . "'");
 $row = mysql_fetch_row($dane);
 if($row['login'] == $login_post AND $row['password'] == $pass_post) {
 $_SESSION["zalogowany"] = true;
    echo 'Zalogowany! <a href="main.php">Strona główna</a>';
} else {
    echo 'Złe hasło!';
  }
?>
[PHP] pobierz, plaintext 

. Jak wpisuje poprawne dane to i tak pokazuje złe hasło...I jeszcze pytanie: czy mogę dać w sesji np. $_SESSION["zalogowany"] = $row['login']; aby móc potem weryfikować z sesji nazwę użytkownika przy zmianie hasła?

Ten post edytował Strarus 6.01.2009, 19:39:41

[Mlodycompany]

Usuń spację w `login` = '".$login."'

Daj pod $row = mysql_fetch_row($dane); print_r($row); i daj to co ci wyprintuje

Możesz tak zrobić, ale lepiej będzie jak zrobisz $_SESSION['login'] = $login; oprócz $_SESSION['zalogowany'] = true;

[Strarus]

daje mi wtedy

Kod

Array (     [0] => test     [1] => pass ) Złe hasło!

... I nadal nie działa... może powrócę do starej wersji?? (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

[Mlodycompany]

wyprintuj taki sposobem tablice $_POST i porównaj dane.