Forum PHP.pl

Forum PHP.pl > Forum > Przedszkole

Reply to this topic

Start new topic

[PHP]Czy jest to wystarczające zabezpieczenie? - autoryzacja

b_chmura Zobacz profil	11.09.2007, 13:03:56 Post #1
Grupa: Zarejestrowani Postów: 813 Pomógł: 34 Dołączył: 18.03.2007 Skąd: o stamtąd Ostrzeżenie: (0%)	Witam Chciałbym się zapytać was ludzi z doświadczeniem i pomysłem czy takie zabezpieczenie jest wystarczające: [PHP] pobierz, plaintext <?php //logowanie - jeśli login i hasło są poprawne tworzy się sesja zakodowanego przez md5 loginu i hasla function loguj($login, $pass) { $spr = mysql_query("SELECT * FROM `USER` WHERE `login` = 'login' AND `haslo` = '$pass'" LIMIT 0,1); if(mysql_num_rows($spr) == 1) { $_SESSION['login'] = md5($login.$pass); return true; } else { return false; } } //sprawdzanie czy user jest zalogowany - jeśli dane wyciągnięte i zakodowane przez md5 zgadzają sie z sesją wszystko jes t ok function spr_usr() { $query = mysql_query("SELECT * FROM `USER` WHERE `login` = '$login' AND `haslo` = '$pass'"); while($user = mysql_fetch_array($query)) { if(md5($user['login'].$user['haslo']) = $_SESSION['login']) { return true; } else { return false; } } } ?> [PHP] pobierz, plaintext przejdzie to?

cornholio666 Zobacz profil	11.09.2007, 13:49:01 Post #2
Grupa: Zarejestrowani Postów: 472 Pomógł: 8 Dołączył: 14.03.2004 Skąd: Rzeszów Ostrzeżenie: (0%)	Tu chyba masz błąd przy 'login' [PHP] pobierz, plaintext <?php $spr = mysql_query("SELECT * FROM `USER` WHERE `login` = 'login' AND `haslo` = '$pass'" LIMIT 0,1); ?> [PHP] pobierz, plaintext Do czego to służy: [PHP] pobierz, plaintext <?php $_SESSION['login'] = md5($login.$pass); ?> [PHP] pobierz, plaintext Chyba dość niewydajne: [PHP] pobierz, plaintext <?php if(md5($user['login'].$user['haslo']) = $_SESSION['login']) ?> [PHP] pobierz, plaintext Po co az 2 zapytania ? -------------------- I need TP for my bunghole!!! Mój nowy przyjaciel - tytanowa płytka na stałe ------------------------------------------------------ AEGEE, kwiaciarnia rzeszów , notariusz rzeszów, zakład krawiecki rzeszów, paweł jakubowicz

b_chmura Zobacz profil	11.09.2007, 15:08:24 Post #3
Grupa: Zarejestrowani Postów: 813 Pomógł: 34 Dołączył: 18.03.2007 Skąd: o stamtąd Ostrzeżenie: (0%)	ad1 tak powinno być `login` = '$login' ad2 Przypisuje sesji "login" wartość ad3 powinno być: [PHP] pobierz, plaintext <?php if(md5($user['login'].$user['haslo']) == $_SESSION['login']) ?> [PHP] pobierz, plaintext ad4 bo są to osobne funkcje Ten post edytował b_chmura 11.09.2007, 15:10:55

Puciek Zobacz profil	11.09.2007, 15:15:09 Post #4
TAO programowania Grupa: Zarejestrowani Postów: 340 Pomógł: 3 Dołączył: 25.03.2003 Skąd: ze słoika Ostrzeżenie: (30%)	Ale nie wyjasniles po jaka cholere dane do sesji cisniesz w md5. Dalej, skąd sie bierze $login i $pass ? Pobierasz je z $_POST ? z $_GET ? z maszyny losujacej ? Czy poprostu w pelni radosnie jedziesz na register_globals ? Stringi lepiej robic apostrofami, czyli [PHP] pobierz, plaintext <?php mysql_query( 'SELECT * FROM `USER` WHERE `login` = "'.$login.'" AND `haslo` = "'.$pass.'" LIMIT 0,1 '); ?> [PHP] pobierz, plaintext Ten post edytował Puciek 11.09.2007, 15:17:36 -------------------- http://puciek.wordpress.com prywatnie o świecie

syntax Zobacz profil	11.09.2007, 15:22:47 Post #5
Grupa: Zarejestrowani Postów: 4 Pomógł: 0 Dołączył: 25.02.2006 Ostrzeżenie: (0%)	pakowanie hash'a do sesji jest troche bez sensu, ja bym to wszytsko zrobil w jednej funkcji.

cornholio666 Zobacz profil	11.09.2007, 15:26:48 Post #6
Grupa: Zarejestrowani Postów: 472 Pomógł: 8 Dołączył: 14.03.2004 Skąd: Rzeszów Ostrzeżenie: (0%)	Cytat ad4 bo są to osobne funkcje Po co ci aż dwa zapytania żeby sprawdzic czy uzytkownik istnieje? nie da sie jednym ? Tutaj w pętli haszujesz login i haslo, czyli jak baza bedzie miala 100000 userów to troche niewydajne bedzie. [PHP] pobierz, plaintext <?php if(md5($user['login'].$user['haslo']) == $_SESSION['login']) ?> [PHP] pobierz, plaintext Z kodu wynika ze trzymasz hasło w bazie w postaci jawnej a to duzy błąd -------------------- I need TP for my bunghole!!! Mój nowy przyjaciel - tytanowa płytka na stałe ------------------------------------------------------ AEGEE, kwiaciarnia rzeszów , notariusz rzeszów, zakład krawiecki rzeszów, paweł jakubowicz

b_chmura Zobacz profil	11.09.2007, 15:46:17 Post #7
Grupa: Zarejestrowani Postów: 813 Pomógł: 34 Dołączył: 18.03.2007 Skąd: o stamtąd Ostrzeżenie: (0%)	a czy w ten sposób odpowiednio sie zabezpieczę? [PHP] pobierz, plaintext <?php function check_user($login, $pass) { if(empty($_SESSION['login'])) { if(empty($login) OR empty($pass)) { echo 'Nie podałeś Loginu i/lub Nicka'; return false; } else { $dane = mysql_query("SELECT * FROM `USER` WHERE `login` = '".$login."' AND `haslo` = '".$pass."' LIMIT 0, 1" ); if(mysql_num_rows($dane) == 1) { $_SESSION['login'] = 'zalogowany'; echo $login.' poprawnie sie zalogował'; return true; } else { echo 'Login i/lub Hasło są nieprawidłowe!'; return false; } } } else { return true; } } ?> [PHP] pobierz, plaintext zmienna $login i $pass pobierane są z formularza.

cornholio666 Zobacz profil	11.09.2007, 15:59:47 Post #8
Grupa: Zarejestrowani Postów: 472 Pomógł: 8 Dołączył: 14.03.2004 Skąd: Rzeszów Ostrzeżenie: (0%)	[PHP] pobierz, plaintext <?php if(!isset($_SESSION['login']){ $_SESSION['login'] = false; } function check_user($login, $pass) { if(empty($login) OR empty($pass)) { echo 'Nie podałeś Loginu i/lub Nicka'; return false; } else { $login = mysql_escape_string($login); $pass = md5($pass); $dane = mysql_query("SELECT * FROM `USER` WHERE `login` = '".$login."' AND `haslo` = '".$pass."' LIMIT 0, 1" ); if(mysql_num_rows($dane) == 1) { $_SESSION['login'] = true; echo $login.' poprawnie sie zalogował'; return true; } else { echo 'Login i/lub Hasło są nieprawidłowe!'; return false; } } } ?> [PHP] pobierz, plaintext mniej wiecej... Ten post edytował cornholio666 11.09.2007, 16:01:34 -------------------- I need TP for my bunghole!!! Mój nowy przyjaciel - tytanowa płytka na stałe ------------------------------------------------------ AEGEE, kwiaciarnia rzeszów , notariusz rzeszów, zakład krawiecki rzeszów, paweł jakubowicz

b_chmura Zobacz profil	11.09.2007, 16:29:18 Post #9
Grupa: Zarejestrowani Postów: 813 Pomógł: 34 Dołączył: 18.03.2007 Skąd: o stamtąd Ostrzeżenie: (0%)	a jakie jest prawdopodobieństwo ze ktoś się "włamie" nie posiadając poprawnych danych ( w tym wypadku)

cornholio666 Zobacz profil	11.09.2007, 16:37:05 Post #10
Grupa: Zarejestrowani Postów: 472 Pomógł: 8 Dołączył: 14.03.2004 Skąd: Rzeszów Ostrzeżenie: (0%)	Przeczytaj to http://forum.php.pl/index.php?showtopic=23258 to http://www.gajdaw.pl/varia/xss.html Przetestuj skrypt -------------------- I need TP for my bunghole!!! Mój nowy przyjaciel - tytanowa płytka na stałe ------------------------------------------------------ AEGEE, kwiaciarnia rzeszów , notariusz rzeszów, zakład krawiecki rzeszów, paweł jakubowicz

erix Zobacz profil	12.09.2007, 08:51:31 Post #11
Grupa: Moderatorzy Postów: 15 467 Pomógł: 1451 Dołączył: 25.04.2005 Skąd: Szczebrzeszyn/Rzeszów	Co do danych w sesji: nie musisz trzymać danych zahaszowanych w sesji, ale lepiej, jeśli katalog z danymi przeniesiesz w "niepubliczne" miejsce (bo domyślnie /tmp). No i obowiązkowo to, o czym cornholio666 wspomniał. -------------------- ZCE :: Pisząc PW załączaj LINK DO TEMATU i TYLKO w sprawach moderacji :: jakiś błąd - a TREŚĆ BŁĘDU? :: nie ponaglaj z odpowiedzią via PW!

templar Zobacz profil	12.09.2007, 09:22:49 Post #12
Grupa: Zarejestrowani Postów: 26 Pomógł: 0 Dołączył: 13.09.2006 Skąd: Poland Ostrzeżenie: (0%)	Cytat(b_chmura @ 11.09.2007, 14:03:56 ) Witam Chciałbym się zapytać was ludzi z doświadczeniem i pomysłem czy takie zabezpieczenie jest wystarczające: [PHP] pobierz, plaintext <?php //logowanie - jeśli login i hasło są poprawne tworzy się sesja zakodowanego przez md5 loginu i hasla function loguj($login, $pass) { $spr = mysql_query("SELECT * FROM `USER` WHERE `login` = 'login' AND `haslo` = '$pass'" LIMIT 0,1); if(mysql_num_rows($spr) == 1) { $_SESSION['login'] = md5($login.$pass); return true; } else { return false; } } //sprawdzanie czy user jest zalogowany - jeśli dane wyciągnięte i zakodowane przez md5 zgadzają sie z sesją wszystko jes t ok function spr_usr() { $query = mysql_query("SELECT * FROM `USER` WHERE `login` = '$login' AND `haslo` = '$pass'"); while($user = mysql_fetch_array($query)) { if(md5($user['login'].$user['haslo']) = $_SESSION['login']) { return true; } else { return false; } } } ?> [PHP] pobierz, plaintext przejdzie to? Przed: [PHP] pobierz, plaintext <?php $spr = mysql_query("SELECT * FROM `USER` WHERE `login` = 'login' AND `haslo` = '$pass'" LIMIT 0,1); ?> [PHP] pobierz, plaintext Zapodałbym: $login = str_replace("'", '', $login); $pass = str_replace("'", '', $pass); Nie ma co się bawić addslashes'ami i innymi badziewiami, lepiej po prostu wyciąć ten apostrof w cholerę - tak jest najbezpieczniej. I najlepiej robić to wszędzie tam, gdzie zmienna bierze udział w zapytaniu MySQL - chyba, że te apostrofy są potrzebne, wtedy lepiej zastąpić je funkcją htmlentities() i dopiero zapisywać do bazy. Pozdrawiam.

« Następny starszy · Przedszkole · Następny nowszy »

Reply to this topic

Start new topic

1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Standardowy · Przełącz na: Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Aktualny czas: 21.08.2025 - 21:48

Powered By IP.Board © 2025 IPS, Inc.
All changes by PHP.pl Administrators

Hosting zapewnia

NQ.pl hosting, trac, svn