Rejestracja użytkowników Opcje

[tadeurz]

Napisałem sobie skrypt który zapisuje mi użytkowników do bazy danych.Zastanawiam się nad jego bezpieczeństwem moglibyście rzucić okiem ?

Proszę, bo naczytałem się w internecie: zawsze addslashed i htmlspecialchars(), moża też spotkać coś takiego :
$email = htmlspecialchars(stripslashes(strip_tags(trim($_POST["email"]))), ENT_QUOTES); <- tworzenie takiego czegoś dla hasła kompletnie go zmieni.

Przeglądałem i zastanawiałem się nad moim kodem wiele razy, według mnie nie ma żadnej luki.Ale nie daje mi to spokoju.

[PHP] pobierz, plaintext 
if( $this->ajax ){
		$email = $_POST['email'];
		$password = $_POST['password'];
		$recaptcha = $_POST['recaptcha'];
		$challenge = $_POST['challenge'];
 
		$recaptchaOK = false;
		if( !empty($recaptcha) && !empty($challenge) ){
			require_once('phpClass/recaptcha.php');
  		$privatekey = '6Lfn8tsSAAAAALtc6Ny******************';
  		$resp = recaptcha_check_answer ($privatekey,$_SERVER["REMOTE_ADDR"],$challenge,$recaptcha);
			$recaptchaOK = ( $resp->is_valid ) ? true : false ;
		}
 
		$passwordOK = false;
		if( !empty($password) && strlen($password) < 40 ){
			require_once('phpClass/phpass.php');
			$hasher = new PasswordHash(8, TRUE);
			$password = $hasher->HashPassword($password);
			$passwordOK = ( strlen($password) >= 20 ) ? true : false ;
		}
 
		$emailOK = false;
		if( !empty($email) ){
			$emailOK = ( preg_match('/^[0-9a-zA-Z_.-]+@[0-9a-zA-Z.-]+\.[a-zA-Z]{2,3}$/', $email) === 1 ) ? true : false ;		
			$emailTaken = sql::qq('SELECT `id` FROM `user` WHERE `email`=? ','s',array($email));
			$emailTaken = ( $emailTaken ) ? true : false ;
		}		
 
		if( !$emailTaken && $emailOK && $passwordOK && $recaptchaOK ){
			$sqlR = sql::qq('INSERT INTO `user` (`email`,`password`) VALUES (?,?)','ss',array($email,$password));
			$this->body = array('status'=>true);
		}else{
			if( !$recaptchaOK ) $error['wrongRecaptcha']= $this->l('wrongRecaptcha');
			if( $emailTaken )  $error['takenEmail']= $this->l('takenEmail');
			if( !$emailOK ) $error['wrongEmail']= $this->l('wrongEmail');
			if( !$passwordOK ) $error['wrongPassword']=$this->l('wrongPassword');
			$this->body = array('status'=>false,'info'=>$error);
		}
	}else{
		error::NotAJAX();
	}
[PHP] pobierz, plaintext 

/---------------------------------
przepraszm za dziwne tab'y. Ten edytor coś wyzmieniał mi dlatego jest nieczytelnie.

Ten post edytował tadeurz 1.02.2013, 16:51:09

[reptile_rex]

Taka mała ciekawostka o e-mailach, akurat ostatnio podczas testów jednostkowych na to trafiłem.

RFC 2822:

...the local-part of the e-mail may use any of these ASCII characters:

* Uppercase and lowercase letters
* The digits 0 through 9
* The characters,! # $ % & ' * + - / =? ^ _ ` { Ś } ~
* The character "." provided that it is not the first or last character in the local-part.

Kolega wspominał o issetach ponieważ PHP rzuci notice, jeżeli odwołamy się do nieistniejącego indeksu lub zmiennej

Co do ograniczania ilości znaków hasła nie widzę zbytniego sensu.
Nie sądzę, aby wyliczenie hasha było jakoś tragiczne w skutkach dla serwera, gdybyśmy mieli hashować dłuższe ciągi znaków, jak dla mnie to już lekka paranoja.
Poniższy przykład wykona się w mgnieniu oka.

[PHP] pobierz, plaintext 
for ($i = 0; $i < 1000; $i++) {
	$random_num = mt_rand(1, 9);
	$string = str_repeat($random_num, 80);
	echo md5($string)."\n";
}
[PHP] pobierz, plaintext 

Ten post edytował reptile_rex 1.02.2013, 22:15:02