Forum PHP.pl

Forum PHP.pl > Forum > Przedszkole

Bezpieczeństwo tego skryptu

julek12 Zobacz profil	19.08.2009, 11:35:45 Post #1
Grupa: Zarejestrowani Postów: 97 Pomógł: 5 Dołączył: 6.02.2009 Skąd: Gorzów Wlkp. Ostrzeżenie: (0%)	Witam, Mam pytanie czy skrypt jest w miarę bezpieczny? To moja pierwsza przygoda z sessions więc się pytam oto skrypt: [PHP] pobierz, plaintext <?php header('Content-Type: text/html; charset="utf-8"'); session_start(); ?> <<?php ?>?xml version="1.0" encoding="utf-8"?<?php ?>> <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.1//EN" "http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd"> <html xmlns="http://www.w3.org/1999/xhtml" xml:lang="pl"> <head> <meta http-equiv="Content-Language" content="pl" /> <meta http-equiv="Content-Type" content="text/html; charset=utf-8"/> <meta http-equiv="Reply-To" content="julek12@tibiaserv.pl" /> <title>TibiaServ.PL - Sonda</title> <meta name="verify-v1" content="OzJlYgcY2J+e78CLZ67a5VBn3nupIh+B0BCyp5crrSg=" /> <meta name="keywords" content="tibia, ots, open tibia server, otserv, lua, xml, server, otfans, iots, acc maker, skrypty, php, silniki, mapy, klienty, cheaty, tutoriale, otmapeditor, lista serwerow, forum" /> <meta name="description" content="Polski Support Open Tibia Serwer (OTS). Forum, download, skrypty, tutoriale, lista OTS, otserv, iots, otfans, otsy, silniki, mapy" /> <meta name="Robots" content="all, index, follow" /> <meta name="Author" content="Juliusz Marciniak" /> </head> <body> <form method='post' action='login.php'> <b>Nazwa użytkownika:</b> <input type='text' name='nick'><br /> <b>Hasło:</b> <input type='password' name='password'><br /> <input type='submit' value='Wyślij' name='submit'> </form> <?php try { $nick = trim(strip_tags($_POST['nick'])); $password = md5(md5(trim(strip_tags($_POST['password'])))); if(isset($_SESSION['login'])) { echo "Witaj, ".$_SESSION['nick']; } else { if (isset($_POST['submit'])) { $pdo = new PDO('mysql:host=localhost;dbname=xxx', 'xxx', 'xxx', array(PDO::MYSQL_ATTR_INIT_COMMAND => 'SET NAMES utf8')); $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); $sql = $pdo->prepare('SELECT `nick`, `password` FROM `admins` WHERE `nick` = :nick AND `password` = :password'); $sql->bindValue(':nick', $nick, PDO::PARAM_STR); $sql->bindValue(':password', $password, PDO::PARAM_STR); $sql->execute(); $dane = $sql->fetch(); if ($dane) { session_regenerate_id(); $_SESSION['login'] = true; $_SESSION['nick'] = $nick; $_SESSION['ip'] = $_SERVER['REMOTE_ADDR']; if($_SESSION['ip'] != $_SERVER['REMOTE_ADDR']) { die('Proba przejecia sesji udaremniona!'); } echo 'Zostałeś zalogowany.'; } else { echo "Złe hasło lub login, proszę spróbować ponownie"; } } } } catch(Exception $e) { echo $e->getMessage(); } ?> </body> </html> [PHP] pobierz, plaintext

Start new topic

Odpowiedzi (1 - 19)

erix Zobacz profil	19.08.2009, 11:36:31 Post #2
Grupa: Moderatorzy Postów: 15 467 Pomógł: 1451 Dołączył: 25.04.2005 Skąd: Szczebrzeszyn/Rzeszów	A czy Waść czytał przyklejone wątki? Audyt, to normalna usługa.

julek12 Zobacz profil	19.08.2009, 11:40:51 Post #3
Grupa: Zarejestrowani Postów: 97 Pomógł: 5 Dołączył: 6.02.2009 Skąd: Gorzów Wlkp. Ostrzeżenie: (0%)	Czytałem ale o sesjach nie znalazłem mógłbyś pokazać palcem?

Fifi209 Zobacz profil	19.08.2009, 11:54:37 Post #4
Grupa: Zarejestrowani Postów: 4 655 Pomógł: 556 Dołączył: 17.03.2009 Skąd: Katowice Ostrzeżenie: (0%)	[PHP] pobierz, plaintext $dane = $sql->fetch(); if ($dane) [PHP] pobierz, plaintext Ja bym dał: [PHP] pobierz, plaintext if ($sql->rowCount() == 1) { } [PHP] pobierz, plaintext To: [PHP] pobierz, plaintext $_SESSION['ip'] = $_SERVER['REMOTE_ADDR']; if($_SESSION['ip'] != $_SERVER['REMOTE_ADDR']) { die('Proba przejecia sesji udaremniona!'); } [PHP] pobierz, plaintext Jest bez sensu... Mogłeś równie dobrze napisać: [PHP] pobierz, plaintext if (true !== true) { // warunek nigdy nie spełniony } [PHP] pobierz, plaintext Mam nadzieję, że rozumiesz. P.S. PDO nie ma własnych wyjątków? PDOException Ten post edytował fifi209 19.08.2009, 11:56:14

julek12 Zobacz profil	19.08.2009, 11:57:41 Post #5
Grupa: Zarejestrowani Postów: 97 Pomógł: 5 Dołączył: 6.02.2009 Skąd: Gorzów Wlkp. Ostrzeżenie: (0%)	to wziąłem stąd http://forum.php.pl/index.php?showtopic=30...mp;#entry455375 A tak poza tym skrypt bezpieczny? A jak robię throw new Exception('') to mi te wyjątki z PDO chyba nie zadziałają czy się mylę? Ten post edytował julek12 19.08.2009, 12:00:37

Fifi209 Zobacz profil	19.08.2009, 12:02:22 Post #6
Grupa: Zarejestrowani Postów: 4 655 Pomógł: 556 Dołączył: 17.03.2009 Skąd: Katowice Ostrzeżenie: (0%)	Nie, bo PDO wyrzuci Ci wyjątek kiedyś, że nie może połączyć się z bazą, jak go nie złapiesz to ktoś będzie miał Twoje dane do serwera mysql. [PHP] pobierz, plaintext $password = md5(md5(trim(strip_tags($_POST['password'])))); [PHP] pobierz, plaintext Wystarczy: [PHP] pobierz, plaintext $password = md5($_POST['password']); [PHP] pobierz, plaintext Double md5 nie ma sensu, było o tym na forum. Poza tym lepiej używać sha1. A przed kradzieżą sesji ten skrypt Cię nie zabezpiecza. (IMG:style_emoticons/default/winksmiley.jpg)

nospor Zobacz profil	19.08.2009, 12:03:58 Post #7
Grupa: Moderatorzy Postów: 36 559 Pomógł: 6315 Dołączył: 27.12.2004	Cytat to wziąłem stąd Przeciez wziales tylko czesc stamtad i powycianales losowo pare linijek i myslisz ze bedzie to samo (IMG:style_emoticons/default/blinksmiley.gif) przeciez tą wycinka zmieniles zupelnie zasade dzialania tamtego kodu.

julek12 Zobacz profil	19.08.2009, 12:05:04 Post #8
Grupa: Zarejestrowani Postów: 97 Pomógł: 5 Dołączył: 6.02.2009 Skąd: Gorzów Wlkp. Ostrzeżenie: (0%)	a co zrobić żeby zabezpieczał?

nospor Zobacz profil	19.08.2009, 12:06:13 Post #9
Grupa: Moderatorzy Postów: 36 559 Pomógł: 6315 Dołączył: 27.12.2004	musisz poprawnie skopiowac tamten kod, z ktorego wyciales wiekszosc linijek (IMG:style_emoticons/default/tongue.gif)

Fifi209 Zobacz profil	19.08.2009, 12:06:43 Post #10
Grupa: Zarejestrowani Postów: 4 655 Pomógł: 556 Dołączył: 17.03.2009 Skąd: Katowice Ostrzeżenie: (0%)	Cytat(julek12 @ 19.08.2009, 12:05:04 ) a co zrobić żeby zabezpieczał? Wstawić kod, który zabrałeś z innego tematu w odpowiednim miejscu. (Czyli wszędzie gdzie trzeba być zalogowanym, ale nie w skrypcie obsługującym logowanie)

julek12 Zobacz profil	19.08.2009, 12:10:11 Post #11
Grupa: Zarejestrowani Postów: 97 Pomógł: 5 Dołączył: 6.02.2009 Skąd: Gorzów Wlkp. Ostrzeżenie: (0%)	Ok a to gdzie wstawić? session_regenerate_id();

Fifi209 Zobacz profil	19.08.2009, 12:15:27 Post #12
Grupa: Zarejestrowani Postów: 4 655 Pomógł: 556 Dołączył: 17.03.2009 Skąd: Katowice Ostrzeżenie: (0%)	Cytat(julek12 @ 19.08.2009, 12:10:11 ) Ok a to gdzie wstawić? session_regenerate_id(); Napisałem Ci dokładnie gdzie masz to wstawić. (razem z resztą obcego kodu) WSZĘDZIE GDZIE SKRYPT WYMAGA LOGOWANIA...ale nie podczas logowania

julek12 Zobacz profil	19.08.2009, 12:17:03 Post #13
Grupa: Zarejestrowani Postów: 97 Pomógł: 5 Dołączył: 6.02.2009 Skąd: Gorzów Wlkp. Ostrzeżenie: (0%)	ok rozumiem Cię, a reszta kodu jest już ok?

Fifi209 Zobacz profil	19.08.2009, 12:24:38 Post #14
Grupa: Zarejestrowani Postów: 4 655 Pomógł: 556 Dołączył: 17.03.2009 Skąd: Katowice Ostrzeżenie: (0%)	Jest prawie ok... Wyjątki musisz łapać od PDOException jak już pisałem... Przerób skrypt i wstaw cały. Ten post edytował fifi209 19.08.2009, 12:24:52

julek12 Zobacz profil	19.08.2009, 12:32:41 Post #15
Grupa: Zarejestrowani Postów: 97 Pomógł: 5 Dołączył: 6.02.2009 Skąd: Gorzów Wlkp. Ostrzeżenie: (0%)	Nie wiem czy działa bo mi coś się z serwerem stało, ale wyszło mi tak: [PHP] pobierz, plaintext <?php header('Content-Type: text/html; charset="utf-8"'); session_start(); ?> <<?php ?>?xml version="1.0" encoding="utf-8"?<?php ?>> <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.1//EN" "http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd"> <html xmlns="http://www.w3.org/1999/xhtml" xml:lang="pl"> <head> <meta http-equiv="Content-Language" content="pl" /> <meta http-equiv="Content-Type" content="text/html; charset=utf-8"/> <meta http-equiv="Reply-To" content="julek12@tibiaserv.pl" /> <title>TibiaServ.PL - Sonda</title> <meta name="verify-v1" content="OzJlYgcY2J+e78CLZ67a5VBn3nupIh+B0BCyp5crrSg=" /> <meta name="keywords" content="tibia, ots, open tibia server, otserv, lua, xml, server, otfans, iots, acc maker, skrypty, php, silniki, mapy, klienty, cheaty, tutoriale, otmapeditor, lista serwerow, forum" /> <meta name="description" content="Polski Support Open Tibia Serwer (OTS). Forum, download, skrypty, tutoriale, lista OTS, otserv, iots, otfans, otsy, silniki, mapy" /> <meta name="Robots" content="all, index, follow" /> <meta name="Author" content="Juliusz Marciniak" /> </head> <body> <form method='post' action='login.php'> <b>Nazwa użytkownika:</b> <input type='text' name='nick'><br /> <b>Hasło:</b> <input type='password' name='password'><br /> <input type='submit' value='Wyślij' name='submit'> </form> <?php try { $nick = trim(strip_tags($_POST['nick'])); $password = sha1($_POST['password'].'Ds.dAjsD3jnM32dkja343n'); if(isset($_SESSION['login'])) { echo "Witaj, ".$_SESSION['nick']; } else { if (isset($_POST['submit'])) { $pdo = new PDO('mysql:host=localhost;dbname=xxxx', 'xxxx', 'xxxxxxx', array(PDO::MYSQL_ATTR_INIT_COMMAND => 'SET NAMES utf8')); $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); $sql = $pdo->prepare('SELECT `nick`, `password` FROM `admins` WHERE `nick` = :nick AND `password` = :password'); $sql->bindValue(':nick', $nick, PDO::PARAM_STR); $sql->bindValue(':password', $password, PDO::PARAM_STR); $sql->execute(); if ($sql->rowCount() == 1) { $_SESSION['login'] = true; $_SESSION['nick'] = $nick; echo 'Zostałeś zalogowany.'; } else { echo "Złe hasło lub login, proszę spróbować ponownie"; } } } } catch(PDOException $e) { echo 'Połączenie nie mogło zostać utworzone: '.$e->getMessage(); } ?> </body> </html> [PHP] pobierz, plaintext Ten post edytował julek12 19.08.2009, 12:35:18

Fifi209 Zobacz profil	19.08.2009, 12:36:18 Post #16
Grupa: Zarejestrowani Postów: 4 655 Pomógł: 556 Dołączył: 17.03.2009 Skąd: Katowice Ostrzeżenie: (0%)	Powinno działać tylko czy przy rejestracji też masz tą sól: [PHP] pobierz, plaintext $password = sha1($_POST['password'].'Ds.dAjsD3jnM32dkja343n'); [PHP] pobierz, plaintext ?

julek12 Zobacz profil	19.08.2009, 12:39:18 Post #17
Grupa: Zarejestrowani Postów: 97 Pomógł: 5 Dołączył: 6.02.2009 Skąd: Gorzów Wlkp. Ostrzeżenie: (0%)	To jest logowanie tylko do konta admina:) rejestracji nie mam konto sobie robię w PMA. Piszę skrypt na sondę i logowanie do panelu admina musiałem zrobić, a z sesjami pierwszy kontakt. I tak offtop jak zrobić procenty czyli mam ileś głosów i jaki jest procent na daną odpowiedź ja wymyśliłem tak: wszystkie_odpowiedzi / odpowiedzi_danej_opcji 100 / wynik

nospor Zobacz profil	19.08.2009, 12:41:07 Post #18
Grupa: Moderatorzy Postów: 36 559 Pomógł: 6315 Dołączył: 27.12.2004	Cytat I tak offtop jak zrobić procenty czyli mam ileś głosów i jaki jest procent na daną odpowiedź ja wymyśliłem tak: wszystkie_odpowiedzi / odpowiedzi_danej_opcji 100 / wynik Ale tu nie ma co wymyslac, to jest podstawa matematyki: (ilosc/ilosc_wszystkich)*100

Fifi209 Zobacz profil	19.08.2009, 12:41:38 Post #19
Grupa: Zarejestrowani Postów: 4 655 Pomógł: 556 Dołączył: 17.03.2009 Skąd: Katowice Ostrzeżenie: (0%)	Zawsze wyliczasz z proporcji: Wszystko - 100% Coś - x% coś * 100 / wszystko I tym sposobem obliczysz ile % ze wszystkiego jest coś. (IMG:style_emoticons/default/haha.gif)

julek12 Zobacz profil	19.08.2009, 12:42:33 Post #20
Grupa: Zarejestrowani Postów: 97 Pomógł: 5 Dołączył: 6.02.2009 Skąd: Gorzów Wlkp. Ostrzeżenie: (0%)	Aha dzięki:P Kiedyś miałem to na matmie ale nie pamiętałem (IMG:style_emoticons/default/haha.gif) O ja zapomniałem o proporcji chyba dlatego, że wakacje są i nie pamiętam o szkole :\| Ten post edytował julek12 19.08.2009, 12:43:41

« Następny starszy · Przedszkole · Następny nowszy »

Reply to this topic

Start new topic

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Aktualny czas: 11.10.2025 - 07:59

Powered By IP.Board © 2025 IPS, Inc.
All changes by PHP.pl Administrators

Hosting zapewnia

NQ.pl hosting, trac, svn