[HTML][MySQL][PHP]System logowania Opcje

[viamarimar]

1. Skrypt z jakiegos powodu gdy dodalem hash przestal dzialac?
2. Co mozna dodac jeszcze aby logowanie bylo bezpieczniejsze
3. Komunikat o zlym hasle nigdy nie wystepuje?
Nawet jak login jest ok a haslo bledne wywala ze odrazu konta nie ma w bazie czyli komunikat =1

[PHP] pobierz, plaintext 
echo "Złe hasło, proszę spróbować ponownie";
    header("location: index.php?komunikat=2");
[PHP] pobierz, plaintext 

Jak rozwiazac kwestie tego zeby wgl zaczelo logowac, rejestracja uzywa tego samego hasha, no i punkt drugi tu juz inwencja i pomysly.

[PHP] pobierz, plaintext 
...
<?php
if(isset($_POST['loguj']) && ($_POST['loguj'])==1) {
 
//filtrowanie	
   $_POST['login']=mysql_real_escape_string(addslashes(htmlspecialchars(trim($_POST['login']))));
   $_POST['haslo']=mysql_real_escape_string(addslashes(htmlspecialchars(trim($_POST['haslo']))));
 
 
$sol = md5("abc"); //sól użytkownika pobierana z bazy
$sol2 = sha1("def"); //sól dodatkowa
$hash = hash('sha512', $_POST['haslo'] . $sol  . $sol2);
 
 
$userExists = mysql_fetch_array(mysql_query("SELECT COUNT(*) FROM users WHERE login = '".$_POST['login']."' AND pass = '$hash'"));
 
    if ($userExists[0] == 0) {
        // Użytkownik nie istnieje w bazie
        header("location: index.php?komunikat=1");
    }
	 else {
        // Użytkownik istnieje
        $_SESSION['zalogowany'] = true;
        $_SESSION['login'] = $_POST['login'];
 
		   $user = $_SESSION['login'];
		    mysql_query("UPDATE `users` SET `logowanie`=NOW(),`online`='1' WHERE login='$user'") or die(mysql_error()); 
 
		header('Location: index.php');
 
        echo '<p class="success">Zostałeś zalogowany. Możesz przejść na <a href="index.php">stronę główną</a></p>';
    }
}
else{
 
?>
<form class="form-signin" action="s_logowanie.php" method="POST">
						<div class="form-group">
							 <label>Login</label><input class="form-control" name="login" type="text" required />
						</div>
						<div class="form-group">
							 <label>Haslo</label><input class="form-control" name="haslo" type="password" required />
						</div>
						<div class="row">
				<div class="col-xs-6 col-md-6"><input type="reset" value="Wyczyść" class="btn btn-warning btn-block btn-sm" ></div>
				<div class="col-xs-6 col-md-6">
				<input type="hidden" name="loguj" value="1" />
				<input type="submit"  value="Zaloguj" class="btn btn-success btn-block btn-sm">
				</div>
			</div>
</form>
 
 
 
 
 
<?php
}
...
?>
[PHP] pobierz, plaintext 

Ten post edytował viamarimar 29.11.2014, 15:48:55

[Daimos]

Dlaczego tak sie bawie wgl? Bo mam duzo porabanych kolegow ktorzy chca mi udowodnic jacy to oni nie sa "super hakierzy".

Na tych kolegów wystarczy Ci pewnie samo md5. Standardowo i dużo lepiej kiedy używają ludzie sha1. Jeśli chcesz zabezpieczyć się lepiej, sha512, do tego klucz w plikach i klucz w bazie Ci dobrze zabezpieczy hasła. Ale najważniejsza jest aplikacja bez dziur, bo właśnie one, oraz słabe hasła, są najpopularniejszą bramą dla potencjalnych włamywaczy.
Poczytaj na tym forum, jest dużo o zabezpieczeniach, a temat kryptografii jest jak morze, wystarczy zerknąć w google.