Bezpieczeństwo tego skryptu Opcje

[julek12]

Witam,
Mam pytanie czy skrypt jest w miarę bezpieczny? To moja pierwsza przygoda z sessions więc się pytam oto skrypt:

[PHP] pobierz, plaintext 
<?php
header('Content-Type: text/html; charset="utf-8"');
session_start();
?>
<<?php ?>?xml version="1.0" encoding="utf-8"?<?php ?>>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.1//EN" "http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="pl">
<head>
<meta http-equiv="Content-Language" content="pl" />
<meta http-equiv="Content-Type" content="text/html; charset=utf-8"/>
<meta http-equiv="Reply-To" content="julek12@tibiaserv.pl" />
<title>TibiaServ.PL - Sonda</title>
<meta name="verify-v1" content="OzJlYgcY2J+e78CLZ67a5VBn3nupIh+B0BCyp5crrSg=" />
<meta name="keywords" content="tibia, ots, open tibia server, otserv, lua, xml, server, otfans, iots, acc maker, skrypty, php, silniki, mapy, klienty, cheaty, tutoriale, otmapeditor, lista serwerow, forum" />
<meta name="description" content="Polski Support Open Tibia Serwer (OTS). Forum, download, skrypty, tutoriale, lista OTS, otserv, iots, otfans, otsy, silniki, mapy" />
<meta name="Robots" content="all, index, follow" />
<meta name="Author" content="Juliusz Marciniak" />
</head>
<body>
<form method='post' action='login.php'>
<b>Nazwa użytkownika:</b> <input type='text' name='nick'><br />
<b>Hasło:</b> <input type='password' name='password'><br />
<input type='submit' value='Wyślij' name='submit'>
</form>
<?php
try
{
	$nick = trim(strip_tags($_POST['nick']));
	$password = md5(md5(trim(strip_tags($_POST['password']))));
 
	if(isset($_SESSION['login']))
	{
		echo "Witaj, ".$_SESSION['nick']; 
	}
	else
	{
		if (isset($_POST['submit']))
		{	
			$pdo = new PDO('mysql:host=localhost;dbname=xxx', 'xxx', 'xxx', array(PDO::MYSQL_ATTR_INIT_COMMAND => 'SET NAMES utf8'));
			$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
			$sql = $pdo->prepare('SELECT `nick`, `password` FROM `admins` WHERE `nick` = :nick AND `password` = :password');
			$sql->bindValue(':nick', $nick, PDO::PARAM_STR);
			$sql->bindValue(':password', $password, PDO::PARAM_STR);
			$sql->execute();
			$dane = $sql->fetch(); 
			if ($dane)
			{
				session_regenerate_id();
				$_SESSION['login'] = true;
				$_SESSION['nick'] = $nick;
				$_SESSION['ip'] = $_SERVER['REMOTE_ADDR'];
				if($_SESSION['ip'] != $_SERVER['REMOTE_ADDR'])
				{
					die('Proba przejecia sesji udaremniona!');
				}
				echo 'Zostałeś zalogowany.';
			}
			else
			{ 
				echo "Złe hasło lub login, proszę spróbować ponownie";
			}
		}
	}
}
catch(Exception $e)
{
   echo $e->getMessage();
}
?>
</body>
</html>
[PHP] pobierz, plaintext 

[erix]

A czy Waść czytał przyklejone wątki? Audyt, to normalna usługa.

[julek12]

Czytałem ale o sesjach nie znalazłem mógłbyś pokazać palcem?

[Fifi209]

[PHP] pobierz, plaintext 
$dane = $sql->fetch();
if ($dane)
[PHP] pobierz, plaintext 

Ja bym dał:

[PHP] pobierz, plaintext 
 
if ($sql->rowCount() == 1) {
 
}
[PHP] pobierz, plaintext 

To:

[PHP] pobierz, plaintext 
$_SESSION['ip'] = $_SERVER['REMOTE_ADDR'];
if($_SESSION['ip'] != $_SERVER['REMOTE_ADDR'])
{
die('Proba przejecia sesji udaremniona!');
}
[PHP] pobierz, plaintext 

Jest bez sensu...
Mogłeś równie dobrze napisać:

[PHP] pobierz, plaintext 
if (true !== true) {
// warunek nigdy nie spełniony
}
[PHP] pobierz, plaintext 

Mam nadzieję, że rozumiesz.

P.S. PDO nie ma własnych wyjątków?
PDOException

Ten post edytował fifi209 19.08.2009, 11:56:14

[julek12]

to wziąłem stąd http://forum.php.pl/index.php?showtopic=30...mp;#entry455375

A tak poza tym skrypt bezpieczny?

A jak robię throw new Exception('') to mi te wyjątki z PDO chyba nie zadziałają czy się mylę?

Ten post edytował julek12 19.08.2009, 12:00:37

[Fifi209]

Nie, bo PDO wyrzuci Ci wyjątek kiedyś, że nie może połączyć się z bazą, jak go nie złapiesz to ktoś będzie miał Twoje dane do serwera mysql.

[PHP] pobierz, plaintext 
$password = md5(md5(trim(strip_tags($_POST['password']))));
[PHP] pobierz, plaintext 

Wystarczy:

[PHP] pobierz, plaintext 
$password = md5($_POST['password']);
[PHP] pobierz, plaintext 

Double md5 nie ma sensu, było o tym na forum. Poza tym lepiej używać sha1.

A przed kradzieżą sesji ten skrypt Cię nie zabezpiecza.

[nospor]

to wziąłem stąd

Przeciez wziales tylko czesc stamtad i powycianales losowo pare linijek i myslisz ze bedzie to samo przeciez tą wycinka zmieniles zupelnie zasade dzialania tamtego kodu.

[julek12]

a co zrobić żeby zabezpieczał?

[nospor]

musisz poprawnie skopiowac tamten kod, z ktorego wyciales wiekszosc linijek

[Fifi209]

a co zrobić żeby zabezpieczał?

Wstawić kod, który zabrałeś z innego tematu w odpowiednim miejscu.
(Czyli wszędzie gdzie trzeba być zalogowanym, ale nie w skrypcie obsługującym logowanie)

[julek12]

Ok a to gdzie wstawić?
session_regenerate_id();

[Fifi209]

Ok a to gdzie wstawić?
session_regenerate_id();

Napisałem Ci dokładnie gdzie masz to wstawić. (razem z resztą obcego kodu)

WSZĘDZIE GDZIE SKRYPT WYMAGA LOGOWANIA...ale nie podczas logowania

[julek12]

ok rozumiem Cię, a reszta kodu jest już ok?

[Fifi209]

Jest prawie ok...
Wyjątki musisz łapać od PDOException jak już pisałem...

Przerób skrypt i wstaw cały.

Ten post edytował fifi209 19.08.2009, 12:24:52

[julek12]

Nie wiem czy działa bo mi coś się z serwerem stało, ale wyszło mi tak:

[PHP] pobierz, plaintext 
<?php
header('Content-Type: text/html; charset="utf-8"');
session_start();
?>
<<?php ?>?xml version="1.0" encoding="utf-8"?<?php ?>>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.1//EN" "http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="pl">
<head>
<meta http-equiv="Content-Language" content="pl" />
<meta http-equiv="Content-Type" content="text/html; charset=utf-8"/>
<meta http-equiv="Reply-To" content="julek12@tibiaserv.pl" />
<title>TibiaServ.PL - Sonda</title>
<meta name="verify-v1" content="OzJlYgcY2J+e78CLZ67a5VBn3nupIh+B0BCyp5crrSg=" />
<meta name="keywords" content="tibia, ots, open tibia server, otserv, lua, xml, server, otfans, iots, acc maker, skrypty, php, silniki, mapy, klienty, cheaty, tutoriale, otmapeditor, lista serwerow, forum" />
<meta name="description" content="Polski Support Open Tibia Serwer (OTS). Forum, download, skrypty, tutoriale, lista OTS, otserv, iots, otfans, otsy, silniki, mapy" />
<meta name="Robots" content="all, index, follow" />
<meta name="Author" content="Juliusz Marciniak" />
</head>
<body>
<form method='post' action='login.php'>
<b>Nazwa użytkownika:</b> <input type='text' name='nick'><br />
<b>Hasło:</b> <input type='password' name='password'><br />
<input type='submit' value='Wyślij' name='submit'>
</form>
<?php
try
{
	$nick = trim(strip_tags($_POST['nick']));
	$password = sha1($_POST['password'].'Ds.dAjsD3jnM32dkja343n');
 
	if(isset($_SESSION['login']))
	{
		echo "Witaj, ".$_SESSION['nick']; 
	}
	else
	{
		if (isset($_POST['submit']))
		{	
			$pdo = new PDO('mysql:host=localhost;dbname=xxxx', 'xxxx', 'xxxxxxx', array(PDO::MYSQL_ATTR_INIT_COMMAND => 'SET NAMES utf8'));
			$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
			$sql = $pdo->prepare('SELECT `nick`, `password` FROM `admins` WHERE `nick` = :nick AND `password` = :password');
			$sql->bindValue(':nick', $nick, PDO::PARAM_STR);
			$sql->bindValue(':password', $password, PDO::PARAM_STR);
			$sql->execute();
			if ($sql->rowCount() == 1)
			{
				$_SESSION['login'] = true;
				$_SESSION['nick'] = $nick;
				echo 'Zostałeś zalogowany.';
			}
			else
			{ 
				echo "Złe hasło lub login, proszę spróbować ponownie";
			}
		}
	}
}
catch(PDOException $e)
{
	echo 'Połączenie nie mogło zostać utworzone: '.$e->getMessage();
}
?>
</body>
</html>
[PHP] pobierz, plaintext 

Ten post edytował julek12 19.08.2009, 12:35:18

[Fifi209]

Powinno działać tylko czy przy rejestracji też masz tą sól:

[PHP] pobierz, plaintext 
$password = sha1($_POST['password'].'Ds.dAjsD3jnM32dkja343n');
[PHP] pobierz, plaintext 

?

[julek12]

To jest logowanie tylko do konta admina:) rejestracji nie mam konto sobie robię w PMA. Piszę skrypt na sondę i logowanie do panelu admina musiałem zrobić, a z sesjami pierwszy kontakt. I tak offtop jak zrobić procenty czyli mam ileś głosów i jaki jest procent na daną odpowiedź ja wymyśliłem tak:
wszystkie_odpowiedzi / odpowiedzi_danej_opcji
100 / wynik

[nospor]

I tak offtop jak zrobić procenty czyli mam ileś głosów i jaki jest procent na daną odpowiedź ja wymyśliłem tak:
wszystkie_odpowiedzi / odpowiedzi_danej_opcji
100 / wynik

Ale tu nie ma co wymyslac, to jest podstawa matematyki:
(ilosc/ilosc_wszystkich)*100

[Fifi209]

Zawsze wyliczasz z proporcji:

Wszystko - 100%
Coś - x%

coś * 100 / wszystko

I tym sposobem obliczysz ile % ze wszystkiego jest coś.

[julek12]

Aha dzięki:P
Kiedyś miałem to na matmie ale nie pamiętałem

O ja zapomniałem o proporcji chyba dlatego, że wakacje są i nie pamiętam o szkole :|

Ten post edytował julek12 19.08.2009, 12:43:41