[HTML][MySQL][PHP] Zabezpieczenie PA czy wystarczy? Opcje

[lukaszk]

Witam, proszę o informację czy taki system logowania

[PHP] pobierz, plaintext 
<?php
        session_start();
        session_destroy();
 
        $message=""; //wiadomość
 
        $login=$_POST['login'];
        if($login){
                $uzytkownik=trim($_POST['uzytkownik']);
                $md5_haslo= trim(sha1(md5($_POST['haslo'])));
 
 
                //połączenie z bazą danych
				include "page/db.php";
 
                $rezultat = mysql_query("SELECT * FROM admin WHERE login_admin='$uzytkownik' AND haslo_admin='$md5_haslo'");
                $rekord = mysql_fetch_array($rezultat);
                $imie = $rekord[name];
                $nazwisko = $rekord[usernazwisko];
               // $firma = $rekord[firma];
 
                if(@mysql_num_rows($rezultat)){
                        session_register("uzytkownik");
                        session_register("name");
                        session_register("usernazwisko");
                        //session_register("firma");
 
                        header("location:index.php");
                        exit;
                }else{
                        $message="Nieprawidłowa nazwa użytkownika lub hasło";
                }
        }
?>
[PHP] pobierz, plaintext 

i taka zawartość w pliku głównym

[PHP] pobierz, plaintext 
<?php 
        session_start();
		setcookie ("uzytkownik", "", time() - 36);
        if(!session_is_registered("uzytkownik")){
                header('Location: logowanie.php');
        }
 
?>
 
 
 
[PHP] pobierz, plaintext 

Wystarczy do zabezpieczenia PA? jeśli macie inne ciekawsze i bezpieczniejsze propozycję proszę o pomoc
Pozdrawiam

nalazłem również ciekawy kod który zabezpiecza identyfikuje czy dane pochodzą z odpowiedniego formularza.
Ale nie wiem jak go wprowadzić

[PHP] pobierz, plaintext 
 
// umieszczamy zaraz po session_start();
 
if (!isset($_SESSION['token'])) 
{
   $_SESSION['token'] = sha1(uniqid(rand(), true));
}
 
// użycie: 
 
if (warunek1 && check()==true) 
{}
 
function check () 
{
   if ($_POST['token']!=$_SESSION['token'])
       die('hack');
   else
       return true;
}
[PHP] pobierz, plaintext 

[CuteOne]

Brak jakichkolwiek zabezpieczen - każdy może wstawić zamiast nazwy użytkownika kod sql [poczytaj o sql injection]

Nie używa się już session_register() tylko $_SESSION['uzytkownik'] = 'jakas_wartosc';

Co to

[PHP] pobierz, plaintext 
session_start();
session_destroy();
[PHP] pobierz, plaintext 

edit: jezeli nie wiesz jak coś działa to zacznij o tym czytać a nie czekasz aż ktoś ci to wytłumaczy/da przykład

Ten post edytował CuteOne 24.01.2011, 19:24:19

[kalmaceta]

po 1. o sql injection nie czytałeś jak mniemam, brakuje ot choćby mysql_real_escap()
po 2. sha256 + salt zamiast tego potworka

[lukaszk]

Mam po poprawkach i jak ?

[PHP] pobierz, plaintext 
<?php
        session_start();
     //   session_destroy();
		if($_GET['logout'] == "true" && ((int)$_GET['a']==1) && ($_SESSION["uzytkownik"]=='admin'))
		{		
		echo '<p class="message message-success canhide"><b>Zostales prawidłowo wylogowany <img title="zamknij" width="25px;" align="right" src="images/delete.png"></b></p>';
		session_destroy();
		}
 
		$login= htmlspecialchars($_POST['login']);
 
 
 
		        if(isset($_POST['login'])){
	                $uzytkownik= htmlspecialchars (trim($_POST['uzytkownik']));
	                $md5_haslo= trim(sha1(md5($_POST['haslo'])));
 
 
                //połączenie z bazą danych
				include "page/db.php";
 
                $rezultat = mysql_query("SELECT * FROM admin WHERE login_admin='$uzytkownik' AND haslo_admin='$md5_haslo'");
                $rekord = mysql_fetch_array($rezultat);
                $imie = $rekord[name];
                $nazwisko = $rekord[usernazwisko];
               // $firma = $rekord[firma];
 
                if(@mysql_num_rows($rezultat)){
                        $_SESSION["uzytkownik"];
                        $_SESSION["name"];
                        $_SESSION["usernazwisko"];
                        //session_register("firma");
 
                        header("location:index.php");
                        exit;
                }else{
                        $message="Nieprawidłowa nazwa użytkownika lub hasło";
                }
        }
?>
[PHP] pobierz, plaintext 

[Mephistofeles]

Źle. Wielokrotne hashowanie zwiększa prawdopodobieństwo kolizji.

[lukaszk]

Masz na myśli coś takiego

[PHP] pobierz, plaintext 
$salt = 'ldjf8erhqr9814-1438';
 
$hashed_pwd = sha1($password . $salt); 
[PHP] pobierz, plaintext 

Z kolizją raczej nie będę miał problemu gdyż będzie tylko jeden admin (jeśli dobrze zrozumiałem)

[nospor]

nie htmlspecialchars a mysql_escape_string

Z kolizją raczej nie będę miał problemu gdyż będzie tylko jeden admin (jeśli dobrze zrozumiałem)

źle zrozumiales
http://forum.php.pl/index.php?showtopic=44...t=0&start=0

[lukaszk]

Trochę poczytałem i znalazłem sposób taki w którym forumowicze piszą że wystarczy ale po wpisaniu w pole login

[PHP] pobierz, plaintext 
$login = htmlspecialchars(stripslashes(strip_tags(trim($_POST["login"]))), ENT_QUOTES);
[PHP] pobierz, plaintext 

pojawia się

[PHP] pobierz, plaintext 
"><script>java script:alert("Test XSS");</script>
[PHP] pobierz, plaintext 

wynik tego działania

[PHP] pobierz, plaintext 
<script>java script:alert(\"Test XSS\");</script>" id="login" />
[PHP] pobierz, plaintext 

już nie wiem jak mam zabezpieczyć formularze nie wiem co robię źle proszę o pomoc


Czy może jednak to co się pojawiło mimo że się pojawiło jest prawidłowym działaniem tych zabezpieczeń.
Proszę o pomoc

Ten post edytował lukaszk 26.01.2011, 17:22:07