Rejestracja użytkowników Opcje

[tadeurz]

Napisałem sobie skrypt który zapisuje mi użytkowników do bazy danych.Zastanawiam się nad jego bezpieczeństwem moglibyście rzucić okiem ?

Proszę, bo naczytałem się w internecie: zawsze addslashed i htmlspecialchars(), moża też spotkać coś takiego :
$email = htmlspecialchars(stripslashes(strip_tags(trim($_POST["email"]))), ENT_QUOTES); <- tworzenie takiego czegoś dla hasła kompletnie go zmieni.

Przeglądałem i zastanawiałem się nad moim kodem wiele razy, według mnie nie ma żadnej luki.Ale nie daje mi to spokoju.

[PHP] pobierz, plaintext 
if( $this->ajax ){
		$email = $_POST['email'];
		$password = $_POST['password'];
		$recaptcha = $_POST['recaptcha'];
		$challenge = $_POST['challenge'];
 
		$recaptchaOK = false;
		if( !empty($recaptcha) && !empty($challenge) ){
			require_once('phpClass/recaptcha.php');
  		$privatekey = '6Lfn8tsSAAAAALtc6Ny******************';
  		$resp = recaptcha_check_answer ($privatekey,$_SERVER["REMOTE_ADDR"],$challenge,$recaptcha);
			$recaptchaOK = ( $resp->is_valid ) ? true : false ;
		}
 
		$passwordOK = false;
		if( !empty($password) && strlen($password) < 40 ){
			require_once('phpClass/phpass.php');
			$hasher = new PasswordHash(8, TRUE);
			$password = $hasher->HashPassword($password);
			$passwordOK = ( strlen($password) >= 20 ) ? true : false ;
		}
 
		$emailOK = false;
		if( !empty($email) ){
			$emailOK = ( preg_match('/^[0-9a-zA-Z_.-]+@[0-9a-zA-Z.-]+\.[a-zA-Z]{2,3}$/', $email) === 1 ) ? true : false ;		
			$emailTaken = sql::qq('SELECT `id` FROM `user` WHERE `email`=? ','s',array($email));
			$emailTaken = ( $emailTaken ) ? true : false ;
		}		
 
		if( !$emailTaken && $emailOK && $passwordOK && $recaptchaOK ){
			$sqlR = sql::qq('INSERT INTO `user` (`email`,`password`) VALUES (?,?)','ss',array($email,$password));
			$this->body = array('status'=>true);
		}else{
			if( !$recaptchaOK ) $error['wrongRecaptcha']= $this->l('wrongRecaptcha');
			if( $emailTaken )  $error['takenEmail']= $this->l('takenEmail');
			if( !$emailOK ) $error['wrongEmail']= $this->l('wrongEmail');
			if( !$passwordOK ) $error['wrongPassword']=$this->l('wrongPassword');
			$this->body = array('status'=>false,'info'=>$error);
		}
	}else{
		error::NotAJAX();
	}
[PHP] pobierz, plaintext 

/---------------------------------
przepraszm za dziwne tab'y. Ten edytor coś wyzmieniał mi dlatego jest nieczytelnie.

Ten post edytował tadeurz 1.02.2013, 16:51:09

[reptile_rex]

Wszystko zależy jakiego używamy algorytmu hashowania.
Jak widzę używasz jakiejś zewnętrznej klasy, która może być mało wydajna.

Wiadomo że natywne funkcje md5 / sha1 <-- (nie polecam ich już używać do haseł) będą szybsze od tego i bardziej wydajne.

Polecam używanie hash('sha256', $string); lub hash('sha512', $string); + Sól

Zarówno sha512 jak i sha256 należą do SHA2, którego aktualnie powinno się używać.
Ze względu na długość otrzymanego hasha zmniejsza się możliwość kolizji

Jest także SHA3 (2012 rok), ale PHP chyba tego nie zaimplementował.

Pozdrawiam

Ten post edytował reptile_rex 2.02.2013, 15:26:35