[php] autoryzacja - bezpieczeństwo, jak je poprawić Opcje

[kononowicz]

witam.

tak wygląda mój skrypt do obsługi autoryzacji:

[PHP] pobierz, plaintext 
<?php
session_start();
if (isset($_SESSION['logowanie']))
{
		if (isset($_GET['logout']))
		{
		unset($_SESSION['logowanie']);
		header('Location: ?');
		}
}
else
if (isset($_POST['login']) && isset($_POST['passwd']))
if ($_POST['login']=='admin' && $_POST['passwd']=='chemia')
$_SESSION['logowanie']='1';
else
echo"<h2> Wpisz poprawny login oraz hasło </h2> ";
 
		if($_SESSION['logowanie']== 1)
		{
		$id = $_GET['id'];
		$strony = array(
	"glowna" => "glowna.php",
	"usunlink" => "usunlink.php",
		"kontakt" => "kontakt.php",);
	   
		 if($strony[$id] != '')
		{
			require_once ("header.php");
			include ($strony[$id]);
			require_once ("menu.php");
		}
		else
		{
			require_once ("header.php");
			include ("main.php");
			require_once ("menu.php");
		}
}
else
{
	include ("logowanie.inc.php");
}
?>
[PHP] pobierz, plaintext 

Czy jest on w miare bezpieczny (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) i co zrobić zeby był bezpieczniejszy (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) po zalogowaniu ma sie dostep do tresci na stronie wiec powinno byc jednak bezpieczne. pomocy (IMG:http://forum.php.pl/style_emoticons/default/exclamation.gif) czy bezpieczne jest wpisywanie hasła i loginu w skrypcie?? czy lepiej w bazie mysqlu (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) jak to wyglada z tym bezpieczenstwem?? i prosze o komentarze na temat tego skryptu ...

z góry dzieki

[Daimos]

ja proponuje kodowanie hasel za pomoca md5" title="Zobacz w manualu PHP" target="_manual

[Lee]

ja proponuje kodowanie hasel za pomoca md5" title="Zobacz w manualu PHP" target="_manual

A czemu nie krok na przód i sha1" title="Zobacz w manualu PHP" target="_manual

[kononowicz]

A czemu nie krok na przód i sha1" title="Zobacz w manualu PHP" target="_manual

a czy md5 nie jest bardziej kompatybilne z php (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) a jesli chodzi o md5 to w jaki sposob wykorzystac te kodowanie (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) zakodowane hasło ma byc porownywane z czyms ... w jakis sposób to zrobic (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif)

[JaRoPHP]

a jesli chodzi o md5 to w jaki sposob wykorzystac te kodowanie (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) zakodowane hasło ma byc porownywane z czyms ... w jakis sposób to zrobic (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif)

W pliku przechowujesz hasło zhaszowane, czyli nie "chemia", tylko "b9138ec92c7c78ed532ac7c7abd82ed6".
Następnie haszujesz zawartość pola formularza ($_POST['passwd']) i porównujesz obydwa hasze.

[kononowicz]

oki md5 juz mi działa ... czy są jeszcze jakies inne propozycje aby zabezpieczyc logowanie (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif)

Ten post edytował kononowicz 15.07.2007, 16:06:06