Panel logowania - lepsze rozwiązanie ... Opcje

[d4ng]

Witam serdecznie, na podstawie jednego z kursów php udało mi się zrobić prosty panel logowania jednak ma on swoje wady które chciałbym wyeliminować... A więc... stworzyłem plik index.php w którym mamy formularz oraz prostą instrukcje warunkową. Po jej spełnieniu przenosi mnie na content.php. Zrobiłem również plik logout który ma za zadanie przenieść mnie do index.php. Fajnie że się loguje i wylogowuje jednak do panelu można się dostać np podając w adresie /content.php... Chiałbym to jakoś zabezpieczyć tak żeby jedyną droga dostania się było podanie prawidłowego loginu i hasła oraz przydało by się jakies ograniczenie czasowe - np po 5 minutach admin sam się wylogowuje. Dodam tylko że dopiero raczkuje w php ale chętnie się uczę (IMG:style_emoticons/default/smile.gif) Proszę Was o jakieś pomysły, przykłady, rozwiązania... Z góry dziekuje i życze wszystkim zdrowych i spokojnych świąt (IMG:style_emoticons/default/smile.gif)


index.php

[PHP] pobierz, plaintext 
<?php ob_start(); ?>
<!DOCTYPE html>
<html>
<head>
	<meta charset="utf-8">
	<title>Baza klientów</title>
	<link rel=stylesheet href="style.css">
	<link href='http://fonts.googleapis.com/css?family=Open+Sans:400,300' rel='stylesheet' type='text/css'>
	<script src="http://code.jquery.com/jquery.min.js"></script>
	<!--[if lt IE 9]>
	<script src="http://html5shiv.googlecode.com/svn/trunk/html5.js"></script>
	<![endif]-->
</head>
<body>
<div id="kontener_admin">
 
	<div id="admin">
	<form method="POST" action="">
 
                <fieldset>
 
                    <legend>Zaloguj się do bazy</legend><br />
 
                    <label>Login: </label><input type="text" name="username" value="" /><br />
                    <label>Hasło: </label><input type="password" name="password" value="" /><br />
                    <input type="submit" value="Prześlij" class="btn" />
 
                </fieldset>
 
            <input type="hidden" name="checker" value="1" />
            </form>
 
		<?php 
		session_start();
 
		define("LOGIN","admin");
		define("PASSWORD","xsw21qaz");
 
			if(isset($_POST['checker'])){
 
				if(($_POST['username'] == LOGIN) && ($_POST['password'] === PASSWORD)){
					$_SESSION['logged'] = true;
					$_SESSION['login'] = $_POST['username'];
					header("Location: content.php", true); 
				} else {
					echo "<br /><center><p style=\"color:red\">Zły login lub hasło!</p></center>";
				}
			}
		?>
	</div>
</div>
</body>
</html>
<?php ob_end_flush(); ?>
[PHP] pobierz, plaintext 

content.php

[PHP] pobierz, plaintext 
<?php session_start(); ?>
<?php require_once("db.php"); ?>
<?php require_once("header.php"); ?>
<?php require_once("sidebar.php"); ?>
<?php
 
?>
<div id="main">
<?php
	$lista = "SELECT * FROM klienci";
	$wynik = mysql_query($lista);
	echo '<table cellpadding="0" border="1">'; 
	while ($row = mysql_fetch_array($wynik)) {
		echo '<tr><td>' . $row["id"] . '</td><td>' . $row["nazwa"] . '</td><td>' . $row["email"] . '</td><td>' . $row["telefon"] . '</td><td>' . $row["dzielnica"] . '</td><td>' . $row["ulubione"] . '</td></tr>';
	}
	echo '</table>';
 
?>
</div>
 
<?php mysql_close($sql_conn); ?>
 
 
<?php require_once("footer.php"); ?>
[PHP] pobierz, plaintext 

logout.php

[PHP] pobierz, plaintext 
<?php 
session_start();
 
if(isset($_SESSION['logged']) && (!empty($_SESSION['login']))) {
	session_destroy();
	header("Location: index.php", true); 
 
	} else {
		echo "<h1>zooonk! :)</h1>";		
	}
?>
[PHP] pobierz, plaintext 

Ps. jeżeli widzicie jakieś rażące babole bezpieczeństwa itp to bardzo proszę o uwagi

Ten post edytował d4ng 22.12.2013, 09:47:23

[Damonsson]

Linijki 11-14

[PHP] pobierz, plaintext 
<?php session_start(); ?>
 
<?php require_once("db.php"); ?>
 
<?php require_once("header.php"); ?>
 
<?php require_once("sidebar.php"); ?>
 
<?php
 
if(!isset($_SESSION['logged']) || $_SESSION['logged'] !== true) {  //jeśli zmienna sesyjna logged nie istnieje, albo istnieje ale nie równa się true (co robisz w index.php:42)
 header('Location: index.php'); // to przenieś usera na index.php
 die; // i upewnij się, że nic już się tutaj nie wykona
}
 
?>
 
<div id="main">
 
<?php
 
 
 
	$lista = "SELECT * FROM klienci";
 
	$wynik = mysql_query($lista);
 
	echo '<table cellpadding="0" border="1">'; 
 
	while ($row = mysql_fetch_array($wynik)) {
 
		echo '<tr><td>' . $row["id"] . '</td><td>' . $row["nazwa"] . '</td><td>' . $row["email"] . '</td><td>' . $row["telefon"] . '</td><td>' . $row["dzielnica"] . '</td><td>' . $row["ulubione"] . '</td></tr>';
 
	}
 
	echo '</table>';
 
 
 
?>
 
</div>
 
 
 
<?php mysql_close($sql_conn); ?>
 
 
 
 
 
<?php require_once("footer.php"); ?>
[PHP] pobierz, plaintext 

Ten post edytował Damonsson 22.12.2013, 11:29:33

[d4ng]

heh no jasne (IMG:style_emoticons/default/wink.gif) ale pytanie czy możemy to jeszcze jakoś dopracować? myślę tu o jakimś time out? oraz czy na pewno nie da się wejść na strone bez loginu i hasła? Co np. z atakiem przez wpisanie odpowiedniego kodu php w formularz? Czym mogę to jakoś zabezpieczyć? Ps. aby google nie indexował tej strony wystarczy stworzyć robots.txt ale czy warto zrobić coś jeszcze? Jeszcze raz dziękuje za pomoc i czekam na Wasze pomysły (IMG:style_emoticons/default/wink.gif)

[Damonsson]

Session timeout http://stackoverflow.com/questions/3068744...session-timeout

Zawsze się da wejść.
Tutaj możesz być narażony na brute-force i ewentualnie http://en.wikipedia.org/wiki/Timing_attack

Ale jeśli nie trzymasz tam nagich zdjęć żony, to komu by się chciało?

Przy porównywaniu Stringów używaj ===, a nie ==

Ten post edytował Damonsson 22.12.2013, 12:55:58

[d4ng]

Super (IMG:style_emoticons/default/wink.gif) wracając tylko do tematu poruszania sie po stronie to mam plik np db.php w którym przechowuje $sql_conn = mysql_connect(); itp i do niego też mogę wejść przez przeglądarkę.. oczywiście jest pustra strona, ale nie chciałbym aby strona się wyświetlała... czy teraz dla każdej podstrony mam zastosować

[PHP] pobierz, plaintext 
if(!isset($_SESSION['logged']) || $_SESSION['logged'] !== true) {  //jeśli zmienna sesyjna logged nie istnieje, albo istnieje ale nie równa się true (co robisz w index.php:42)
 header('Location: index.php'); // to przenieś usera na index.php
 die; // i upewnij się, że nic już się tutaj nie wykona
}
[PHP] pobierz, plaintext 

czy mogę to jakoś inaczej ograniczyć ? oraz czy

[PHP] pobierz, plaintext 
<?php require_once("db.php"); ?> i <?php mysql_close($sql_conn); ?>
[PHP] pobierz, plaintext 

są poprawnie osadzone... i ma to ręce i nogi czy coś byś zmienił?

Pozdrawiam i jeszcze raz dziekuje (IMG:style_emoticons/default/wink.gif)

[Damonsson]

W folderze, gdzie masz wrażliwe pliki możesz zrobić .htaccess i deny from all - poczytaj sobie o tym, co i jak.

No skoro bawisz się w strukturalne php, to może być. Ale przyszłościowo to MVC, OOP PHP, PDO i te sprawy.