[MySQL][PHP] filtrowanie danych z formularzy - bezpieczeństwo. Opcje

[Doody]

Kiedyś napisałem prosty CRM który działał ale był skrajnie niebezpieczny, tzn nie ma żadnego filtrowania danych przesyłanych z formularzy ani też tych zapisywanych w bazie.
Teraz zająłem się właśnie kwestią bezpieczeństwa aby mój twór stał się w końcu przydatny.

Na pierwszy ogień poszła kwestia panelu logowania i tu pytanie: czy sprawdzenia hasła i loginu jak poniżej jest Waszym zdaniem wystarczająco bezpieczne:

[PHP] pobierz, plaintext 
<?php
	include('db_con.php'); //łączy z serwerem i wybiera bazę danych
	if(isset($_POST['login']) || isset($_POST['haslo'])){ //sprawdza czy hasło lub login zostały wprowadzone i przesłane metodą POST
		session_start();	//rozpoczyna sesję
		$zapytanie = "SELECT * FROM biz_user WHERE p_login = '".trim($_POST['login'])."'";  // wybiera z bazy MySQL rekordy z komórką p_login równą podanemu loginowi
		if(preg_match('/^[a-zA-Z0-9.\-_]+\@[a-zA-Z0-9.\-]+\.[a-z]{2,4}$/D', trim($_POST['login'])) && mysql_num_rows(mysql_query($zapytanie)) > 0){ 		// sprawdza czy ilość znalezionych rekordów jest większa od zera oraz czy login będący adresem e-mail jest zgodny z odpowiadającym mu wyrażeniem regularnym
			$zapytanie = "SELECT * FROM biz_user WHERE p_login = '".$_POST['login']."'&& p_haslo = '".$_POST['haslo']."'"; // wybiera z bazy MySQL rekordy z komórką p_haslo równą podanemu hasłu i komórką p_login równą podanemu loginowi
			if(preg_match('/[^\/\'\`\"\n\s\\\\]{2,20}$/D', $_POST['haslo']) && mysql_num_rows(mysql_query($zapytanie)) > 0){	// sprawdza czy ilość znalezionych rekordów jest większa od zera
				$zapytanie = "SELECT * FROM biz_user WHERE p_login = '".$_POST['login']."' LIMIT 1"; 	// pobiera używane w sesji dane użytkownika
					while($wiersz=mysql_fetch_array(mysql_query($zapytanie))){
					$_SESSION['user_id'] = $wiersz['p_id'];	//zapisuje ID użytkownika w zmiennej sesyjnej
					$_SESSION['user'] = $wiersz['p_imie'].' '.$wiersz['p_nazwisko']; //zapisuje imię i nazwisko użytkownika w zmiennej sesyjnej
					$_SESSION['status'] = $wiersz['p_status']; //zapisuje ststus użytkownika w zmiennej sesyjnej
					break;
					}
		   	$_SESSION['zalogowany'] = true;
		      header("Location: lista_firm.php");
		   }
		   else{
		   	header('Location: index.php?log_error=2');
		   }
		}
		else{
		   header('Location: index.php?log_error=1');
		}
	}
	else{
		echo'
		  	<center>
				<br />
			  	<br />
			   <img src="picture/logo.png">
				<br />
			   <br />
			   <h3>Logowanie do systemu</h3>
		';
		if (isset($_GET['log_error'])){ 
	 		$log_error=$_GET['log_error'];
			if ( $log_error == 1 ) echo '<b>Nie istnieje taki użytkownik! </b><br />';
			if ( $log_error == 2 ) echo '<b>Podane hasło jest nieprawidłowe! </b><br />';
		}
		echo'
				<form action="index.php" method="post">
			    	<br />
			      Login: <input type="text" name="login" size="30"/><br/>
			      <br />
			      Hasło: <input type="password" name="haslo" size="30"/><br/>
			      <br />
			      <input class="przycisk" type="submit" value="WEJŚCIE" /><br/>
			   </form>
			</center>
		';
	}
?>
[PHP] pobierz, plaintext 

Zakładam że loginem jest adres e-mail a hasło nie może zawierać znaków \ / ' ` " \n \s

[gitbejbe]

Musisz się jeszcze dużo uczyć

Po pierwsze :
if(isset($_POST['login']) || isset($_POST['haslo'])) -- wystarczy sprawdzić czy istnieje submit

session_start(); -- dałeś dopiero po warunku , dlaczego ? Później powstają tematy, że sesja nie działa na wszystkich stronach. Otwieraj sesje najlepiej na początku dokumentu. Wiem, ze to logowanie i po logowaniu ta strona nie bedzie dostepna, ale moze robisz ten sam błąd w innych dokumentach

$zapytanie = "SELECT * FROM biz_user WHERE p_login = '".trim($_POST['login'])."'"; -- napisałeś, że znasz się na atakach typu sql. Nie znasz sie ani troche. Przestudiuj dokładnie o co z nimi chodzi a zobaczysz jak powazną luke masz w tym miejscu. Funckja trim przed niczym Cię tutaj nie chroni.

jeśli jesteś początkujący, to jeśli piszesz sprawdzenie jakiegoś formularza to zacznij najpierw od zdefiniowania zmiennych, np:

$login = mysql_escape_string($_POST['login']);
$haslo = "$_POST['haslo'];

Jeśli nie uzywasz PDO, to przeflitruj dodatkowo login przez wyrażenie regularne - to chyba najpewniejszy sposób.
Dopiero po sprawdzeniu zmiennych tworzysz warunek, gdzie jesli obie te zmienne sa ok , to dopiero pobierasz dane z bazy (IMG:style_emoticons/default/exclamation.gif) !

Hasła nie musisz sprawdzać. Każdy powinien miec takie hasło jakie chce.

Z bazy danych sprawdzac tylko czy jest taki login w bazie i pobierasz jego hasło. Jeśli hasło zgadza sie z tym podanym z formularza, to tworzysz sesje

Ten post edytował gitbejbe 16.09.2013, 09:51:07

[Doody]

Musisz się jeszcze dużo uczyć

To nie podlega dyskusji.

Po pierwsze :
if(isset($_POST['login']) || isset($_POST['haslo'])) -- wystarczy sprawdzić czy istnieje submit

Tak też zrobię.

session_start(); -- dałeś dopiero po warunku , dlaczego ? Później powstają tematy, że sesja nie działa na wszystkich stronach. Otwieraj sesje najlepiej na początku dokumentu. Wiem, ze to logowanie i po logowaniu ta strona nie bedzie dostepna, ale moze robisz ten sam błąd w innych dokumentach

W pozostałych plikach mam start sesji na początku. dokładnie wygląda to tak:

[PHP] pobierz, plaintext 
<?php
session_start();
if(!isset($_SESSION['zalogowany']))
  header("Location: index.php");
?>
[PHP] pobierz, plaintext 

$zapytanie = "SELECT * FROM biz_user WHERE p_login = '".trim($_POST['login'])."'"; -- napisałeś, że znasz się na atakach typu sql. Nie znasz sie ani troche. Przestudiuj dokładnie o co z nimi chodzi a zobaczysz jak powazną luke masz w tym miejscu. Funckja trim przed niczym Cię tutaj nie chroni.

jeśli jesteś początkujący, to jeśli piszesz sprawdzenie jakiegoś formularza to zacznij najpierw od zdefiniowania zmiennych, np:

$login = mysql_escape_string($_POST['login']);
$haslo = "$_POST['haslo'];

Jeśli nie uzywasz PDO, to przeflitruj dodatkowo login przez wyrażenie regularne - to chyba najpewniejszy sposób.
Dopiero po sprawdzeniu zmiennych tworzysz warunek, gdzie jesli obie te zmienne sa ok , to dopiero pobierasz dane z bazy (IMG:style_emoticons/default/exclamation.gif) !

Nie napisałem że znam się na atakach typu sql. Napisałem że wiem co to jest atak typu SQL Injection, to spora różnica.
Natomiast jeśli spojrzysz na mój drugi post, zauważysz że właśnie tak zrobiłem. Login jest przefiltrowany przez wyrażenie regularne, a dopiero później zmienna $clear['login'] umieszczona w zapytaniu do bazy.

Hasła nie musisz sprawdzać. Każdy powinien miec takie hasło jakie chce.

Z bazy danych sprawdzac tylko czy jest taki login w bazie i pobierasz jego hasło. Jeśli hasło zgadza sie z tym podanym z formularza, to tworzysz sesje

Dzięki - rzeczywiście wystarczy porównać.

Ten post edytował Doody 17.09.2013, 16:05:12