[PHP]bezpieczne logowanie, bezpieczeństwo poważnego projektu Opcje

[gitbejbe]

Witam. Mam pytanie czysto teoretyczne tak więc nie będę wklejał niepotrzebnie kodu.
Przeleciałem już kilkanascie stronn na tym forum w poszukiwaniu pomocy, również w googlasie nie jest łatwo odzszukac jednoznaczej odpowiedzi na mój problem.

Muszę zrobić jak najbezpieczniejsze logowanie. Robie duży projekt, w którym w gre już wchodzą pieniądze na kontach użytkowników.

Dlatego tez mam pytanie odnośnie logowania, najpierw zaczne od tego co zrobiłem.

w moim formularzu, mozna logowac sie poprzez email/login i hasło

-najpierw pobieram dane i nakładam na nie "htmlspecialchar"
-sprawdzam później poprzez wyrażenia regularne w php, czy oba pola posiadają dozwolone znaki. Dla loginu przewiduje tylko litery, cyfry i znaki używane w mailach. Dla hasła tylko cyfry i litery.
- jeśli jest ok, sprawdzam, czy ktoś taki istnieje - po loginie albo emailu (poprzez funkcje sprawdzam kto co podał do logowania)
- sprawdzam tylko czy istnieje takie ID w bazie i czy konto jest aktywne, jeśli tak pobieram tylko ID.
- jeśli istnieje, tworze sesje i narazie to wszystko

co do trzech pierwszy punktów, chce jeszcze dodać dla hasła znaki specjalne dla zwiększenia siły i wymóg w rejestracji do stosowania znaków specjalnych.
mam dodaną również blokadę logowania dla IP na 15min jeśli w ciagu 5minut logował się bez powodzenia 20razy.
Hasła są pięknie kodowane w sh1 i solone tak, że nie ma bata na złamanie.

do sesji dodaje tylko ID użytkownika na zasadzie $_SESSION['identyfikator'] = $row['id']. No a póżniej sprawdzam czy istnieje taka sesja na odpowiednich stronach

no i teraz odnośnie tworzenia sesji. Tutaj jest mój dylemat. Nie mogę sobie pozwolić na ataki, gdzie ktoś mógłby wejść na czyjeś konto i np zażądać wypłaty jego pieniędzy.
Naczytałem się, że najbezpieczniej jest użyć do tego ciastek, gdzie do takiego ciastka wrzucam np te ID z sesji i sprawdzam za każdym razem czy sesja i ciastko są takie same. Wolałbym jednak nie bawić się w ciastka ze względu na to, że każdy ma prawo je blokować w przeglądarce.

Wytłumaczcie mi jeszcze, jeśli zna ktoś mój identyfikator sesji czyli dla $_SESSION['identyfikator'] jest nią string "identyfikator", to co wtedy ? jakiś przykład ?

Jak ktoś ma z was dobre doświadczenie odnośnie bezpieczeństwa sesji, prosze o pomoc merytoryczną jak najlepiej się zabezpieczyć. Tylko prosze prostym językiem i łopatologicznie bo jeszcze nigdy takich zabezpieczeń dla sesji nie robiłem.

Ten post edytował gitbejbe 4.06.2013, 06:41:00

[kosmaty_zab]

Ja to zrobiłem tak (na podstawie pracy użytkowników wyżej)
logowanie

[PHP] pobierz, plaintext 
session_start();
	if (empty($_SESSION['login']) || empty($_SESSION['password'])){
			@$_SESSION['login'] = trim($_POST['login']);
			@$_SESSION['password'] = trim($_POST['password']);
		}
	//logowanie
	if (empty($_SESSION['login']) || empty($_SESSION['password']))
			include('logowanie.html');
	else{
			if(sprawdzenie_sesji(@$_COOKIE['AUTH'])){
					echo "Witaj, <b>".$_SESSION['login']."</b>"." "."<a href=\"wyloguj.php\">[Wyloguj]</a><br><br>";
					echo "<a href=\"admin_panel.php\">Panel Administratora</a>";
					}
			elseif(logowanie_sprawdzanie ($_SESSION['login'], $_SESSION['password'])){
					$hash = generateAuthHash();
					if(!$hash) die('Użyj przeglądarki cfaniaczku!');
					setcookie('AUTH',$hash); // nie podawaj czasu - ciastko będzie kasowane razem z ciastkiem sesji
					echo "Witaj, <b>".$_SESSION['login']."</b>"." "."<a href=\"wyloguj.php\">[Wyloguj]</a><br><br>";
					echo "<a href=\"admin_panel.php\">Panel Administratora</a>";
					}
			else{
					echo "Podane hasło lub login jest nieprawidłowe. Proszę spróbować ponownie.";
					include('logowanie.html');
					session_destroy();
				}
		}
 
[PHP] pobierz, plaintext 

i niezbędne funkcje

[PHP] pobierz, plaintext 
function logowanie_sprawdzanie ($login, $password){
@ $db = mysqli_connect('localhost', 'nazwa użytkownika', 'hasło', 'nazwa bazy');
				if(!$db){
					echo "Połączenie z bazą danych nie powiodło się.";
					exit();
					}
$zapytanie = "select login, password from admin where login='".$login."' and password='".sha1($password)."'";
$wynik = mysqli_query($db, $zapytanie);
 
$ile_znalezionych = mysqli_num_rows($wynik);
		if ($ile_znalezionych!=1)
			return false;
		elseif ($ile_znalezionych=1)
			return true;
 
mysqli_close($db);
}
 
function ip(){ //sprawdzanie i wyślatlanie adresu ip
  if(isset($_SERVER["HTTP_X_FORWARDED_FOR"])) // wartość superglobalnych
    $tt = $_SERVER["REMOTE_ADDR"]." proxy"; /// ip proxy 
  else
    $tt = $_SERVER['REMOTE_ADDR'];
 
  return $tt; // ." ".$tt_g
}
 
function generateAuthHash() {
    if(!isset($_SERVER['HTTP_USER_AGENT'])) 
	  return false; // jeśli nie ma USER_AGENT to na bank mamy request nie z przeglądarki
    $ip = ip();
    $browserId = $_SERVER['HTTP_USER_AGENT'].isset($_SERVER['HTTP_ACCEPT_LANGUAGE']) ? $_SERVER['HTTP_ACCEPT_LANGUAGE'] : 'empty_accept_language_string';
 
    return sha1('$@#FFE$%'.$ip.'@#$ASDAYJ$%!'.$browserId.'!@#%@$#DWD#$@%');
}
 
function sprawdzenie_sesji($a){
  if(isset($a)){
      $hash = generateAuthHash();
      if(!$hash) 
	    return false;
      if($hash != $a) 
	    return false;
  }
  else
    return false;
 
  return true;
}
[PHP] pobierz, plaintext 

wylogowanie

[PHP] pobierz, plaintext 
session_start();
setcookie('AUTH',' ', time()-3600);
session_destroy();
 
header("Refresh: 0; url=index.php");
[PHP] pobierz, plaintext