[HTML][MySQL][PHP]System logowania Opcje

[viamarimar]

1. Skrypt z jakiegos powodu gdy dodalem hash przestal dzialac?
2. Co mozna dodac jeszcze aby logowanie bylo bezpieczniejsze
3. Komunikat o zlym hasle nigdy nie wystepuje?
Nawet jak login jest ok a haslo bledne wywala ze odrazu konta nie ma w bazie czyli komunikat =1

[PHP] pobierz, plaintext 
echo "Złe hasło, proszę spróbować ponownie";
    header("location: index.php?komunikat=2");
[PHP] pobierz, plaintext 

Jak rozwiazac kwestie tego zeby wgl zaczelo logowac, rejestracja uzywa tego samego hasha, no i punkt drugi tu juz inwencja i pomysly.

[PHP] pobierz, plaintext 
...
<?php
if(isset($_POST['loguj']) && ($_POST['loguj'])==1) {
 
//filtrowanie	
   $_POST['login']=mysql_real_escape_string(addslashes(htmlspecialchars(trim($_POST['login']))));
   $_POST['haslo']=mysql_real_escape_string(addslashes(htmlspecialchars(trim($_POST['haslo']))));
 
 
$sol = md5("abc"); //sól użytkownika pobierana z bazy
$sol2 = sha1("def"); //sól dodatkowa
$hash = hash('sha512', $_POST['haslo'] . $sol  . $sol2);
 
 
$userExists = mysql_fetch_array(mysql_query("SELECT COUNT(*) FROM users WHERE login = '".$_POST['login']."' AND pass = '$hash'"));
 
    if ($userExists[0] == 0) {
        // Użytkownik nie istnieje w bazie
        header("location: index.php?komunikat=1");
    }
	 else {
        // Użytkownik istnieje
        $_SESSION['zalogowany'] = true;
        $_SESSION['login'] = $_POST['login'];
 
		   $user = $_SESSION['login'];
		    mysql_query("UPDATE `users` SET `logowanie`=NOW(),`online`='1' WHERE login='$user'") or die(mysql_error()); 
 
		header('Location: index.php');
 
        echo '<p class="success">Zostałeś zalogowany. Możesz przejść na <a href="index.php">stronę główną</a></p>';
    }
}
else{
 
?>
<form class="form-signin" action="s_logowanie.php" method="POST">
						<div class="form-group">
							 <label>Login</label><input class="form-control" name="login" type="text" required />
						</div>
						<div class="form-group">
							 <label>Haslo</label><input class="form-control" name="haslo" type="password" required />
						</div>
						<div class="row">
				<div class="col-xs-6 col-md-6"><input type="reset" value="Wyczyść" class="btn btn-warning btn-block btn-sm" ></div>
				<div class="col-xs-6 col-md-6">
				<input type="hidden" name="loguj" value="1" />
				<input type="submit"  value="Zaloguj" class="btn btn-success btn-block btn-sm">
				</div>
			</div>
</form>
 
 
 
 
 
<?php
}
...
?>
[PHP] pobierz, plaintext 

Ten post edytował viamarimar 29.11.2014, 15:48:55

[viamarimar]

Wyglada to tak w tej chwili ale teraz przepuszcza wszystko oO.. mamsakra:<

[PHP] pobierz, plaintext 
if(isset($_POST['loguj']) && ($_POST['loguj'])==1) {
 
//filtrowanie	
   $_POST['login']=mysql_real_escape_string(addslashes(trim($_POST['login'])));
   $_POST['haslo']=mysql_real_escape_string(addslashes(trim($_POST['haslo'])));
 
 
//solenie hasla na podstawie bazy i soli ze skryptu   
$zap1 = mysql_query("SELECT token FROM users WHERE login = '".$_POST['login']."' AND aktywny='1' ") or die(mysql_error()); 
$wiersz=mysql_fetch_array($zap1);
 
$sol = $wiersz['token']; //sól użytkownika pobierana z bazy
$sol2 = sha1("abcdef"); //sól dodatkowa
$hash = hash('sha512', $_POST['haslo'] . $sol  . $sol2);
 
 
$zap2 = mysql_query("SELECT login, haslo FROM users WHERE login = '".$_POST['login']."' AND haslo = '$hash' AND aktywny='1' ") or die(mysql_error()); 
 
     if(mysql_fetch_array($zap2)>0) {
        // Użytkownik nie istnieje w bazie
        header("location: index.php?komunikat=1");
    }
	 else {
        // Użytkownik istnieje
        $_SESSION['zalogowany'] = true;
        $_SESSION['login'] = $_POST['login'];
 
		   $user = $_SESSION['login'];
		    mysql_query("UPDATE `users` SET `logowanie`=NOW(),`online`='1' WHERE login='$user'") or die(mysql_error()); 
 
		 header("location: index.php?komunikat=2");
 
    }
}
[PHP] pobierz, plaintext 

O komunikatach nie zapomnialem sa one tez:

[PHP] pobierz, plaintext 
//1
if (isset($_GET['komunikat']) && mysql_escape_string($_GET['komunikat'] == '1') && (int)($_GET['komunikat'])) {
     echo '<div class="alert alert-danger" alert-dismissible" role="alert">
  <button type="button" class="close" data-dismiss="alert"><span aria-hidden="true">×</span><span class="sr-only">Close</span></button>
  <strong>Błąd!</strong> Podałeś błędne dane, spróbuj ponownie!
</div>';
 } 
//2
if (isset($_GET['komunikat']) && mysql_escape_string($_GET['komunikat'] == '2') && (int)($_GET['komunikat'])) {
     echo '<div class="alert alert-success" alert-dismissible" role="alert">
  <button type="button" class="close" data-dismiss="alert"><span aria-hidden="true">×</span><span class="sr-only">Close</span></button>
  <strong>Sukces!</strong> Zostałeś zalogowany!
</div>';
 }
//3
if (isset($_GET['komunikat']) && mysql_escape_string($_GET['komunikat'] == '3') && (int)($_GET['komunikat'])) {
     echo '<div class="alert alert-success" alert-dismissible" role="alert">
  <button type="button" class="close" data-dismiss="alert"><span aria-hidden="true">×</span><span class="sr-only">Close</span></button>
  <strong>Sukces!</strong> Konto zostało utworzone!
</div>';
 } 
[PHP] pobierz, plaintext 

pomoze ktos zrobic "cos" z tym tak zeby dzialalo to jak normalne logowanie a nie "otwarte drzwi" z napisem wejdz i bierdz co chcesz..

Ten post edytował viamarimar 29.11.2014, 23:17:27