System logowania [do sprawdzenia]

System logowania [do sprawdzenia]

Riklaunim Zobacz profil	2.07.2004, 12:10:44 Post #1
Grupa: Zarejestrowani Postów: 640 Pomógł: 44 Dołączył: 8.02.2004 Ostrzeżenie: (0%)	Zrobiłem prosty system logowania oparty o sesje: [PHP] pobierz, plaintext <?php // Bierz dane z tabeli userów include('./txtSQL.class.php'); $sql = new txtSQL('./data'); $sql->connect('root',''); $sql->selectdb('rkcms_core'); $results= $sql->execute('select', array('select' => array('id', 'login', 'haslo', 'email', 'gg', 'tlen', 'strona', 'wiek', 'plec', 'ip', 'logdate', 'defcon', 'text'), 'table' => 'user')); //Zrób tablicę foreach ( $results as $key => $row ) { $user_array[$row[login]]=$row[haslo]; } //Czy wprowadzone dane są ok? function checklogin() { global $login, $haslo, $user_array; $haslo = md5($haslo); IF ($user_array[$login]==$haslo) { return 1; } else { return 0; } } function logout() { session_name(\"logowanie\"); session_unregister(\"login\"); session_unregister(\"haslo\"); } //Zaczynamy logowanie session_name(\"logowanie\"); session_start(); IF ($login!=\"\" and $haslo!=\"\" and !isset($_REQUEST[\"login\"])) { session_register(\"login\", \"haslo\"); } //Gdy niezalogowany IF ($login == \"\" and $haslo == \"\" and !isset($_REQUEST[\"login\"])) { $action= \"login\"; } elseif(checklogin() == 1) { if ($action==\"\") $action = \"zal\"; } else { $action = \"bad\"; logout(); } //Prosta obsługa logowanie/zalogowany/błąd logowania... itp. switch($action) { case \"login\": echo '<form><input type=text name=login><BR><input type=password name=haslo><BR><input type=submit value=Zaloguj></form>'; break; case \"bad\": echo 'błąd logowania'; break; case \"zal\": echo \"zalogowany, <a href=\"?action=logout\\">wyloguj</a>.<BR>\"; break; case \"logout\": logout(); echo \"wylogowany\"; break; } ?> [PHP] pobierz, plaintext Skrypt sam w sobie działa... tylko mam pytanie czy jest "bezpieczny", czy nie da się go jakoś obejść albo coś zrobić lepiej (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg) Jak ktoś chce może wykorzystać (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Odpowiedzi (1 - 3)

seaquest Zobacz profil	2.07.2004, 13:09:19 Post #2
Grupa: Przyjaciele php.pl Postów: 790 Pomógł: 7 Dołączył: 6.02.2003 Skąd: Polska Ostrzeżenie: (0%)	Po 1. Przede wszystkim moim zdaniem system nie dziala,bo przeciez w funkcji checklogin() znienna user_array nie jest globalną Po 2. ale to kwestia czasowa: po co ładować wszysktich userów, skoro można tylko jednego... Po 3. Używaj tablic superglobalnych zamiast session_* Po 4. System nie działa dlatego, że nie ma zmiennej $results zadeklarowanej - jest tylko zmienna $sql z rezultatami. (poczytaj troche manuala txtsql) Tak wiec nie ma co dyskutowac o bezpieczeństwie zanim sie nie poprawi systemu.

Riklaunim Zobacz profil	3.07.2004, 11:31:02 Post #3
Grupa: Zarejestrowani Postów: 640 Pomógł: 44 Dołączył: 8.02.2004 Ostrzeżenie: (0%)	Mi skrypt działa poprawnie, logowanie, wylogowanie itd. Cytat Po 1. Przede wszystkim moim zdaniem system nie dziala,bo przeciez w funkcji checklogin() znienna user_array nie jest globalną a niby to to co? Kod global $login, $haslo, $user_array; Cytat Po 4. System nie działa dlatego, że nie ma zmiennej $results zadeklarowanej - jest tylko zmienna $sql z rezultatami. (poczytaj troche manuala txtsql) (IMG:http://forum.php.pl/style_emoticons/default/blink.gif) Na txtSQL pracuję już od długiego czasu i wszystko mi działa (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) Przecież jest w kodzie Kod $results= $sql->execute('select', co jest standardowym, nie skróconym wywołaniem danych Cytat Po 2. ale to kwestia czasowa: po co ładować wszysktich userów, skoro można tylko jednego... w sumie można dać ograniczenie w zapytaniu...

sf Zobacz profil	3.07.2004, 15:01:15 Post #4
Grupa: Zarejestrowani Postów: 1 597 Pomógł: 30 Dołączył: 19.02.2003 Skąd: Tychy Ostrzeżenie: (0%)	Riklaunim: http://pl2.php.net/manual/pl/ref.session.php Cytat Notatka: Od wersji php 4.1.0 dostępna jest globalna zmienna $_SESSION, podobnie jak $_POST, $_GET, $_REQUEST i tak dalej. W odróżnieniu od $HTTP_SESSION_VARS, $_SESSION jest zawsze globalna. W związku z tym global nie powinno być użyte do $_SESSION. Użycie $_SESSION (lub $HTTP_SESSION_VARS dla wersji php 4.0.6 i starszych) jest wskazane ze względów bezpieczeństwa i czytelności kodu. Używając $_SESSION lub $HTTP_SESSION_VARS nie ma potrzeby używać funkcji session_register()/session_unregister()/session_is_registered(). Użytkownicy mogą uzyskiwać dostęp do zmiennych sesyjnych tak jak do normalnych zmiennych.

« Następny starszy · PHP · Następny nowszy »

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Aktualny czas: 25.08.2025 - 01:12

Hosting zapewnia

Forum PHP.pl