Forum PHP.pl

Forum PHP.pl > Inne > Oceny

Prośba o ocenę, skryptu logowania

Jarod Zobacz profil	11.05.2006, 20:11:28 Post #1
Grupa: Zarejestrowani Postów: 1 190 Pomógł: 27 Dołączył: 23.04.2005 Ostrzeżenie: (0%)	Poniżej zamieściłem skrypt, który stosuję do logowania na podstawie bazy. Co o nim myślicie? Czy Waszym zdaniem warto coś poprawić, usprawnić w jakiś sposób? Może nie jest zbyt bezpieczny? [PHP] pobierz, plaintext <?php session_name('sofik'); session_start(); include "config.inc.php"; ?> <!-- ZALOGUJ I USTAW ZMIENNE SESYJNE --> <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"> <html> <head> <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-2"> <meta name="pragma" content="no-cache" /> <title>Logowanie...</title> <link rel="stylesheet" type="text/css" href="autoryzacja.css" /> </head> <body> <?php //Połączenie z bazą danych $conn = mysql_connect($server, $identyfikator, $haslo) or die ("Nie udało się połączyć z bazą danych! BŁˇD: ".mysql_error()); //Wybór bazy danych mysql_selectdb($baza) or die ("Nie udało się wybrać bazy! BŁˇD: ".mysql_error()); //Zapytanie o login i hasło $query = "SELECT * FROM konto WHERE login='".$_POST['logid']."';"; $result = mysql_query($query) or die ("Zapytanie nieudane! BŁˇD: ".mysql_error()); $query_data = mysql_fetch_row($result); //Sprawdzenie czy podany login i hasło są poprawne if (MD5($_POST['pas']) == $query_data[2]) { //Udana autoryzacja if ( ($query_data[3] == 0) OR (($query_data[3] == 3)) ) { //Zapytanie o dane osoby zalogowanej z tabeli pracownika $query = "SELECT konto.konto_id, login, haslo, kto, imie, nazwisko FROM konto, pracow nik ". "WHERE login='".$_POST['logid']."' AND konto.konto_id=pracownik.konto_id;"; $result = mysql_query($query) or die ("Zapytanie nieudane! BŁˇD: ".mysql_error()); $query_data = mysql_fetch_row($result); $ID = $query_data[0]; $_SESSION['id'] = $query_data[0]; //Konto_id $_SESSION['nick'] = $query_data[1]; //Login $_SESSION['haslo'] = $query_data[2]; //Hasło $_SESSION['kto'] = $query_data[3]; //Pracownik czy klient? $_SESSION['imie'] = $query_data[4]; //Imie $_SESSION['nazwisko'] = $query_data[5]; //Nazwisko //------------------->ROZPOCZCIE TRANSAKCJI $query = "BEGIN WORK"; $result = mysql_query($query) or die ("Zapytanie nieudane! BŁˇD: ".mysql_error()); //Dodanie daty i godziny logowania $query = "INSERT INTO logi (konto_id, data_log, godzina_log) VALUES ($ID,CURDATE(),CURTIME());"; $result = mysql_query($query) or die ("Zapytanie nieudane! BŁˇD: ".mysql_error()); //-------------------> ZATWIERDZENIE TRANSAKCJI $query = "COMMIT"; $result = mysql_query($query) or die ("Zapytanie nieudane! BŁˇD: ".mysql_error()); //Sprawdzenie wartości klucza logi_id $query = "SELECT LAST_INSERT_ID()"; $result = mysql_query($query) or die ("Zapytanie nieudane! BŁˇD: ".mysql_error()); $query_data = mysql_fetch_row($result); $_SESSION['id_logi'] = $query_data[0]; //Logi_id //Zamknięcie połączenia z bazą danych mysql_close($conn); header("location: start.php?".SID); } else { //Zapytanie o dane osoby zalogowanej z tabeli klienta $query = "SELECT konto.konto_id, login, haslo, kto, imie, nazwisko FROM konto, klient ". "WHERE login='".$_POST['logid']."' AND konto.konto_id=klient.konto_id;"; $result = mysql_query($query) or die ("Zapytanie nieudane! BŁˇD: ".mysql_error()); $query_data = mysql_fetch_row($result); $ID = $query_data[0]; $_SESSION['id'] = $query_data[0]; //Konto_id $_SESSION['nick'] = $query_data[1]; //Login $_SESSION['haslo'] = $query_data[2]; //Hasło $_SESSION['kto'] = $query_data[3]; //Pracownik czy klient? $_SESSION['imie'] = $query_data[4]; //Imie $_SESSION['nazwisko'] = $query_data[5]; //Nazwisko //------------------->ROZPOCZCIE TRANSAKCJI $query = "BEGIN WORK"; $result = mysql_query($query) or die ("Zapytanie nieudane! BŁˇD: ".mysql_error()); //Dodanie daty i godziny logowania $query = "INSERT INTO logi (konto_id, data_log, godzina_log) VALUES ($ID,CURDATE(),CURTIME());"; $result = mysql_query($query) or die ("Zapytanie nieudane! BŁˇD: ".mysql_error()); //-------------------> ZATWIERDZENIE TRANSAKCJI $query = "COMMIT"; $result = mysql_query($query) or die ("Zapytanie nieudane! BŁˇD: ".mysql_error()); //Sprawdzenie wartości klucza logi_id $query = "SELECT LAST_INSERT_ID()"; $result = mysql_query($query) or die ("Zapytanie nieudane! BŁˇD: ".mysql_error()); $query_data = mysql_fetch_row($result); $_SESSION['id_logi'] = $query_data[0]; //Logi_id //Zamknięcie połączenia z bazą danych mysql_close($conn); header("location: start.php?".SID); } } else { // Zły login lub hasło ?> <br><br><br><br><br><br><br><br><br> <table width="80%" align="center" border="0" cellpadding="14"> <tr> <td><h2 class="error">Podałeś zły login lub hasło!</h2></td> </tr> </table> <?php echo "<META HTTP-EQUIV='Refresh' CONTENT='3; URL=main.php'>"; } ?> </body> </html> [PHP] pobierz, plaintext Ten post edytował J4r0d 14.05.2006, 22:49:22 -------------------- ”Godzina nauki w życiu nowoczesnego apostoła jest godziną modlitwy.” (św. Josemaría Escrivá, Droga, 335)

Start new topic

Odpowiedzi (1 - 15)

devnul Zobacz profil	11.05.2006, 20:27:46 Post #2
Grupa: Zarejestrowani Postów: 1 470 Pomógł: 75 Dołączył: 21.09.2005 Skąd: że znowu Ostrzeżenie: (0%)	skrypt wygląda dobrze - rzczej nie jest niebezpieczny tylko jedno ale: czemu drukujesz z poziomu php kod html? ani to czytelne ani potrzebne, tylko dodatkowe obciązanie parsera ale chyba nie to forum co? Ten post edytował devnul 11.05.2006, 20:29:17 -------------------- Profesjonaliści są przewidywalni... strzeż się amatorów... FL4SHB4CK - imprezy, galerie, lokale

mike Zobacz profil	11.05.2006, 20:31:08 Post #3
Grupa: Przyjaciele php.pl Postów: 7 494 Pomógł: 302 Dołączył: 31.03.2004 Ostrzeżenie: (0%)	Przenoszę z php na Oceny Swoją drogą walisz "Proszę o ocenę..." a na Ocenach nie dajesz, coś z Tobą nie tak? P.S. Dlaczego wszędzie dajesz die()? To najgorsze wyjście, poczytaj o wyjątkach i inaczej rozwiąż kwestie problematyczne.

Jarod Zobacz profil	11.05.2006, 20:40:37 Post #4
Grupa: Zarejestrowani Postów: 1 190 Pomógł: 27 Dołączył: 23.04.2005 Ostrzeżenie: (0%)	Cytat(mike_mech @ 2006-05-11 19:31:08) Przenoszę z php na Oceny Swoją drogą walisz "Proszę o ocenę..." a na Ocenach nie dajesz, coś z Tobą nie tak? P.S. Dlaczego wszędzie dajesz die()? To najgorsze wyjście, poczytaj o wyjątkach i inaczej rozwiąż kwestie problematyczne. mike_mech: bo skrypt ten pisałem dawno pod php4 wiem że można go przepisać pod php5 z obsługą wyjątków ps. jestem zmęczony - przepraszam za zły dział @devnul: poprawie -------------------- ”Godzina nauki w życiu nowoczesnego apostoła jest godziną modlitwy.” (św. Josemaría Escrivá, Droga, 335)

nospor Zobacz profil	11.05.2006, 21:09:57 Post #5
Grupa: Moderatorzy Postów: 36 557 Pomógł: 6315 Dołączył: 27.12.2004	...WHERE login='".$_POST['logid']."'..... a teraz patrzymy w ten topic: http://forum.php.pl/index.php?showtopic=23258&st=0 i juz wiemy o czym mowie -------------------- *"Myśl, myśl, myśl..."* - Kubuś Puchatek \|\| *"Manual, manual, manual..."* - Kubuś Programista *"Szukaj, szukaj, szukaj..."* - Kubuś Odkrywca \|\| *"Debuguj, debuguj, debuguj..."* - Kubuś Developer

Jarod Zobacz profil	11.05.2006, 21:25:36 Post #6
Grupa: Zarejestrowani Postów: 1 190 Pomógł: 27 Dołączył: 23.04.2005 Ostrzeżenie: (0%)	Cytat(nospor @ 2006-05-11 20:09:57) ...WHERE login='".$_POST['logid']."'..... a teraz patrzymy w ten topic: http://forum.php.pl/index.php?showtopic=23258&st=0 i juz wiemy o czym mowie Przeczytałem ale nie wiem gdzie błąd i jak go naprawić..? -------------------- ”Godzina nauki w życiu nowoczesnego apostoła jest godziną modlitwy.” (św. Josemaría Escrivá, Droga, 335)

devnul Zobacz profil	11.05.2006, 21:32:45 Post #7
Grupa: Zarejestrowani Postów: 1 470 Pomógł: 75 Dołączył: 21.09.2005 Skąd: że znowu Ostrzeżenie: (0%)	widocznie nie przeczytałeś uważnie cytat z wypowiedzi Vengeance`a (pierwsza odpowiedz w tym temacie) Cytat punkt 2. ja stosuje po prostu addslashes() i filtruje dane z POST GET COOKIE itd. tzn jak ma byc liczba do liczba a nie string i wszystko staje się jasne. wszystkie dane które przekazujesz do bazy danych potraktuj funkcją addslashes(), czyli np. [PHP] pobierz, plaintext <?php addslashes($_POST["login"]); ?> [PHP] pobierz, plaintext Ten post edytował devnul 11.05.2006, 21:34:28 -------------------- Profesjonaliści są przewidywalni... strzeż się amatorów... FL4SHB4CK - imprezy, galerie, lokale

TomASS Zobacz profil	11.05.2006, 23:38:11 Post #8
Grupa: Zarejestrowani Postów: 1 660 Pomógł: 13 Dołączył: 9.06.2004 Skąd: Wrocław i okolice Ostrzeżenie: (0%)	Cytat skrypt wygląda dobrze - rzczej nie jest niebezpieczny Cytat widocznie nie przeczytałeś uważnie Ty też Ja bym raczej proponował funkcje specjalnie do tego stworzoną - mysql_escape_string(). 1. Możesz zamiast: [PHP] pobierz, plaintext <?php $query = "SELECT konto.konto_id, login, haslo, kto, imie, nazwisko FROM konto, pracownik ". "WHERE login='".$_POST['logid']."' AND konto.konto_id=pracownik.konto_id;"; ?> [PHP] pobierz, plaintext Pisać wygodniej: [PHP] pobierz, plaintext <?php $query = "SELECT K.konto_id, login, haslo, kto, imie, nazwisko FROM konto AS K , prac ownik AS P WHERE login='".$_POST['logid']."' AND K.konto_id=P.konto_id;"; ?> [PHP] pobierz, plaintext 2. Nie łatwiej byłoby trzymać datę i czas w jednej komórce w bazie danych? : [PHP] pobierz, plaintext <?php $query = "INSERT INTO logi (konto_id, data_log, godzina_log) VALUES ($ID,CURDATE(),CURTIME());"; ?> [PHP] pobierz, plaintext 3. Jeśli już używasz styli, to bądź konsekwentny: [HTML] pobierz, plaintext <table width="80%" align="center" border="0" cellpadding="14"> [HTML] pobierz, plaintext Ale to tak szukanie dziury w całym - popraw to o czym napisał kolega nospor oraz mike_mech i powinno być dobrze Ten post edytował TomASS 11.05.2006, 23:39:34 -------------------- www.fajrant.pl/

Jarod Zobacz profil	14.05.2006, 20:46:39 Post #9
Grupa: Zarejestrowani Postów: 1 190 Pomógł: 27 Dołączył: 23.04.2005 Ostrzeżenie: (0%)	W celu wyeliminowania możliwości załadowania konkretnej podstrony przez użytkownika, na każdej podstronie mam taki kod: [PHP] pobierz, plaintext <?php session_name('sofik'); session_start(); //JEŚLI NIE ISTNIEJE SESJA UŻYTKOWNIKA TO POWRÓT NA STRON LOGOWANIA if ( (!isset($_SESSION['nick'])) && (!isset($_SESSION['haslo'])) ) { ?> <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"> <html> <head> <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-2"> <meta name="pragma" content="no-cache" /> <link rel="stylesheet" type="text/css" href="autoryzacja.css" /> </head> <body> <table width="80%" align="center" border="0" cellpadding="14"> <tr> <td><img src="images/spacer.gif" alt="" width="0" height="140"></td> </tr> <tr> <td><h2 class="error">BRAK UPRAWNIEŃ! &nbsp ZALOGUJ SI</h2></td> </tr> </table> </body> </html> <?php echo "<META HTTP-EQUIV='Refresh' CONTENT='3; URL=main.php'>"; exit(); } ?> [PHP] pobierz, plaintext Co o tym sądzicie? Poprawilibyście coś? Ten post edytował J4r0d 14.05.2006, 22:50:04 -------------------- ”Godzina nauki w życiu nowoczesnego apostoła jest godziną modlitwy.” (św. Josemaría Escrivá, Droga, 335)

Jabol Zobacz profil	14.05.2006, 20:49:40 Post #10
Grupa: Przyjaciele php.pl Postów: 1 467 Pomógł: 13 Dołączył: 22.02.2003 Ostrzeżenie: (0%)	Jeżeli miałbym to ocenić w skali 1 do 10 dostałbyś 1, i to z wielkim minusem! Nawet tego skryptu nie przejrzałem - odpowiedź na pytanie za co ta ocena znajedziesz już w trzeciej linijce! Popraw to zobaczymy

ActivePlayer Zobacz profil	14.05.2006, 21:00:24 Post #11
Grupa: Przyjaciele php.pl Postów: 1 224 Pomógł: 40 Dołączył: 6.07.2004 Skąd: Wuppertal Ostrzeżenie: (0%)	masz gdzies ten skrypt online ? chcialbym sprawdzic conieco.

Jarod Zobacz profil	14.05.2006, 21:43:53 Post #12
Grupa: Zarejestrowani Postów: 1 190 Pomógł: 27 Dołączył: 23.04.2005 Ostrzeżenie: (0%)	Cytat(Jabol @ 2006-05-14 19:49:40) Jeżeli miałbym to ocenić w skali 1 do 10 dostałbyś 1, i to z wielkim minusem! Nawet tego skryptu nie przejrzałem - odpowiedź na pytanie za co ta ocena znajedziesz już w trzeciej linijce! Popraw to zobaczymy Nie wiem o co Ci chodzi.. Możesz napisać gdzie jest błąd? @ActivePlayer: nie mam na serwerze -------------------- ”Godzina nauki w życiu nowoczesnego apostoła jest godziną modlitwy.” (św. Josemaría Escrivá, Droga, 335)

erix Zobacz profil	14.05.2006, 22:41:09 Post #13
Grupa: Moderatorzy Postów: 15 467 Pomógł: 1451 Dołączył: 25.04.2005 Skąd: Szczebrzeszyn/Rzeszów	masz stala sofik? [PHP] pobierz, plaintext <?php session_name(sofik); ?> [PHP] pobierz, plaintext chyba nie, wiec powinno byc: [PHP] pobierz, plaintext <?php session_name('sofik'); ?> [PHP] pobierz, plaintext Ten post edytował erix 14.05.2006, 22:43:59 -------------------- ZCE :: Pisząc PW załączaj LINK DO TEMATU i TYLKO w sprawach moderacji :: jakiś błąd - a TREŚĆ BŁĘDU? :: nie ponaglaj z odpowiedzią via PW!

Jarod Zobacz profil	14.05.2006, 22:43:58 Post #14
Grupa: Zarejestrowani Postów: 1 190 Pomógł: 27 Dołączył: 23.04.2005 Ostrzeżenie: (0%)	Cytat(erix @ 2006-05-14 21:41:09) najpierw startuj sesje, potem zmieniaj jej nazwe... To nie ma żadnego wpływu na bezpieczeństwo. I działa. Ale skoro tak mówisz to poprawie.. Pozatym myślę, że Jabol doczepił się o coś innego.. -------------------- ”Godzina nauki w życiu nowoczesnego apostoła jest godziną modlitwy.” (św. Josemaría Escrivá, Droga, 335)

erix Zobacz profil	14.05.2006, 22:45:13 Post #15
Grupa: Moderatorzy Postów: 15 467 Pomógł: 1451 Dołączył: 25.04.2005 Skąd: Szczebrzeszyn/Rzeszów	sory, zmienilem posta... rozwiazanie ^^^ -------------------- ZCE :: Pisząc PW załączaj LINK DO TEMATU i TYLKO w sprawach moderacji :: jakiś błąd - a TREŚĆ BŁĘDU? :: nie ponaglaj z odpowiedzią via PW!

Jarod Zobacz profil	14.05.2006, 22:51:24 Post #16
Grupa: Zarejestrowani Postów: 1 190 Pomógł: 27 Dołączył: 23.04.2005 Ostrzeżenie: (0%)	Cytat(erix @ 2006-05-14 21:45:13) sory, zmienilem posta... rozwiazanie ^^^ Poprawiłem. Proszę jeszcze raz o ocenę. Czy to bezpieczny sposób na autoryzację (oczywiście dodam addslashes() i konwersję typów)? Czy dobrze zabezpieczam każdą podstronę? -------------------- ”Godzina nauki w życiu nowoczesnego apostoła jest godziną modlitwy.” (św. Josemaría Escrivá, Droga, 335)

« Następny starszy · Oceny · Następny nowszy »

Reply to this topic

Start new topic

1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Aktualny czas: 21.08.2025 - 15:35

Powered By IP.Board © 2025 IPS, Inc.
All changes by PHP.pl Administrators

Hosting zapewnia

NQ.pl hosting, trac, svn