[HTML][MySQL][PHP]System logowania Opcje

[viamarimar]

1. Skrypt z jakiegos powodu gdy dodalem hash przestal dzialac?
2. Co mozna dodac jeszcze aby logowanie bylo bezpieczniejsze
3. Komunikat o zlym hasle nigdy nie wystepuje?
Nawet jak login jest ok a haslo bledne wywala ze odrazu konta nie ma w bazie czyli komunikat =1

[PHP] pobierz, plaintext 
echo "Złe hasło, proszę spróbować ponownie";
    header("location: index.php?komunikat=2");
[PHP] pobierz, plaintext 

Jak rozwiazac kwestie tego zeby wgl zaczelo logowac, rejestracja uzywa tego samego hasha, no i punkt drugi tu juz inwencja i pomysly.

[PHP] pobierz, plaintext 
...
<?php
if(isset($_POST['loguj']) && ($_POST['loguj'])==1) {
 
//filtrowanie	
   $_POST['login']=mysql_real_escape_string(addslashes(htmlspecialchars(trim($_POST['login']))));
   $_POST['haslo']=mysql_real_escape_string(addslashes(htmlspecialchars(trim($_POST['haslo']))));
 
 
$sol = md5("abc"); //sól użytkownika pobierana z bazy
$sol2 = sha1("def"); //sól dodatkowa
$hash = hash('sha512', $_POST['haslo'] . $sol  . $sol2);
 
 
$userExists = mysql_fetch_array(mysql_query("SELECT COUNT(*) FROM users WHERE login = '".$_POST['login']."' AND pass = '$hash'"));
 
    if ($userExists[0] == 0) {
        // Użytkownik nie istnieje w bazie
        header("location: index.php?komunikat=1");
    }
	 else {
        // Użytkownik istnieje
        $_SESSION['zalogowany'] = true;
        $_SESSION['login'] = $_POST['login'];
 
		   $user = $_SESSION['login'];
		    mysql_query("UPDATE `users` SET `logowanie`=NOW(),`online`='1' WHERE login='$user'") or die(mysql_error()); 
 
		header('Location: index.php');
 
        echo '<p class="success">Zostałeś zalogowany. Możesz przejść na <a href="index.php">stronę główną</a></p>';
    }
}
else{
 
?>
<form class="form-signin" action="s_logowanie.php" method="POST">
						<div class="form-group">
							 <label>Login</label><input class="form-control" name="login" type="text" required />
						</div>
						<div class="form-group">
							 <label>Haslo</label><input class="form-control" name="haslo" type="password" required />
						</div>
						<div class="row">
				<div class="col-xs-6 col-md-6"><input type="reset" value="Wyczyść" class="btn btn-warning btn-block btn-sm" ></div>
				<div class="col-xs-6 col-md-6">
				<input type="hidden" name="loguj" value="1" />
				<input type="submit"  value="Zaloguj" class="btn btn-success btn-block btn-sm">
				</div>
			</div>
</form>
 
 
 
 
 
<?php
}
...
?>
[PHP] pobierz, plaintext 

Ten post edytował viamarimar 29.11.2014, 15:48:55

[viamarimar]

Co stosuje bo 128 wydaje sie za malo:


1. "sol1" Napierw generuje losowy klucz dla kazdego uzytkownika inny

[PHP] pobierz, plaintext 
//losowy ciag     
$s = substr(str_shuffle(str_repeat('ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789',5)),0,10);
[PHP] pobierz, plaintext 

2. klucz ten jest szyfrowany w md5
3. "sol2" 10 znakowa szyfrowana sha1
4.haslo jest haszowane i dopisywane jest sol1 +sol2
5. haszowana calosc w md5

Dlaczego tak sie bawie wgl? Bo mam duzo porabanych kolegow ktorzy chca mi udowodnic jacy to oni nie sa "super hakierzy".

Gdzies czytalem ze na samo md5 potrzeba 32 znaki w varchar?
na sha1 nie wiem? ktos wie?
Lepiej haslo trzymac w char czy varchar jaka roznica?
Wiec ile najlepiej i nie za malo znakow? (dla takiego systemu)

Ten post edytował viamarimar 1.12.2014, 09:41:36