Panel logowania - czy skrypt jest bezpieczny, Panel logowania - czy skrypt jest bezpieczny Opcje

[bigos1995-95]

Witam, napisałem skrypt panelu logowania, chciałbym zapytać was czy skrypt jest bezpieczny czy może powinienem dodać jeszcze jakieś zabezpieczenia, z góry dzieki za opinie

[PHP] pobierz, plaintext 
<?php
    echo '<h3>Panel logowania</h3>';
	session_start();
 
if(isset($_POST['iduzytkownika']) && isset($_POST['haslo']))
{
  // jeżeli użytkownik właśnie podjął próbę zalogowania
  $iduzytkownika = $_POST['iduzytkownika'];
  $haslo = $_POST['haslo'];
 
  $bd_lacz = new mysqli('xxxxxx', 'xxxxxx', 'xxxxxx', 'xxxxxxxx');
 
  if (mysqli_connect_errno()) {
    echo 'Połączenie z bazą danych nie powiodło się: '.mysqli_connect_error();
    exit();
  }
 
  if(!get_magic_quotes_gpc()) {
    $iduzytkownika = addslashes($iduzytkownika);
	$haslo = addslashes($haslo);
  }
 
  $zapytanie = 'select * from uwierzytelnieni_uzytkownicy '
               ."where uzytkownik='$iduzytkownika' "
               ." and haslo=sha1('$haslo')";
 
  $wynik = $bd_lacz->query($zapytanie);
  if($wynik->num_rows > 0)
  {
    // jeżeli dane są w bazie zarejestrowanie identyfikatora użytkownika
	session_regenerate_id();
    $_SESSION['prawid_uzyt'] = $iduzytkownika;
	$_SESSION['ip'] = $_SERVER['REMOTE_ADDR'];
  }
  $bd_lacz->close();
}
  if(isset($_SESSION['prawid_uzyt']))
  {
    echo 'Użytkownik zalogowany jako: '.$_SESSION['prawid_uzyt'].'<br />';
    echo '<a href="wylog.php">Wyloguj</a><br />';
     if($_SESSION['ip'] != $_SERVER['REMOTE_ADDR'])
        {
                die('Proba przejecia sesji udaremniona!');      
        }
  }
  else
  {
    if(isset($iduzytkownika))
    {
      // jeżeli próba logowania była nieudana
      echo 'Zalogowanie niemożliwe.<br />';
    }
    else
    {
      // nie było próby logowania lub nastąpiło wylogowanie
      echo 'Użytkownik niezalogowany.<br />';
    }
 
    // tworzenie formularza logowania
    echo '<form method="post" action="xxxxxx.php">';
    echo '<table>';
    echo '<tr><td>Użytkownik:</td>';
    echo '<td><input type="text" name="iduzytkownika"></td></tr>';
    echo '<tr><td>Hasło:</td>';
    echo '<td><input type="password" name="haslo"></td></tr>';
    echo '<tr><td colspan="2" align="center">';
    echo '<input type="submit" value="Logowanie"></td></tr>';
    echo '</table></form>';
  }
?>
[PHP] pobierz, plaintext 

Ten post edytował bigos1995-95 13.05.2013, 21:09:38

[nospor]

Skad wy bierzecie te addslashes?
To escapowania danych dla mysql uzywa mysql_escape_string a nie addslashes.
A najlepiej przerzuć się na PDO

[bigos1995-95]

Czyli

[PHP] pobierz, plaintext 
if(!get_magic_quotes_gpc()) {
    $iduzytkownika = mysql_escape_string($iduzytkownika);
    $haslo = mysql_escape_string($haslo);
  }
[PHP] pobierz, plaintext 

a reszte jest git ?


addslashes w książce miałem

Ten post edytował bigos1995-95 13.05.2013, 21:32:07

[com]

Skoro korzystasz z mysqli to mysqli_real_escape_string() musisz użyć, ale tak jak nospor powiedział lepiej skorzystaj z PDO

[nospor]

NIe zwróciłem uwagi że to mysqli_. Skorzystaj z poprawki co ci napisał @com.

A jak ci w książce każą dane do bazy przepuszcać przez addslashes to wywal tę książke szybko na śmietnik....

[Sephirus]

Popieram przedmówców co do PDO - bo samo zabezpiecza dane gdy je "bindujemy" i jest bardziej czytelne i równie łatwe w obsłudze a po chwili nawet wyda Ci się wygodniejsze.

Co do samego skryptu - nie ma bezpiecznego skryptu, który ma jakąś interakcję z użytkownikiem a co do Twojego:

[PHP] pobierz, plaintext 
$zapytanie = 'select * from uwierzytelnieni_uzytkownicy '
               ."where uzytkownik='$iduzytkownika' "
               ." and haslo=sha1('$haslo')"; // nie brakuje tu cudzysłowów? - to raz a dwa dowiedz się czym jest SALT
[PHP] pobierz, plaintext 

co do tego addslashes - PDO rozwiązuje problem.

Podoba mi się proste a skuteczne zabezpieczenie na IP - pamiętaj jedynie o tych co mają dynamiczne - jak rozłączy im net albo korzystają z GSM to będzie ich to zabezpieczenie mocno wkurzało - taki OT.

Poza tym, po tym co widuje się w necie jako "bezpieczne skrypty rejestracji i logowania" ten Twój jak na poziom początkujący jest dobry (poza tym co wspominaliśmy).

[bigos1995-95]

Dzięki wielkie, zastosuje się do rad