[PHP][MySQL]Bezpieczeństwo a $_SESSION

[PHP][MySQL]Bezpieczeństwo a $_SESSION

djtomaszq Zobacz profil	22.09.2016, 09:31:36 Post #1
Grupa: Zarejestrowani Postów: 192 Pomógł: 0 Dołączył: 5.07.2015 Ostrzeżenie: (0%)	Mam takie pytanie odnośnie bezpieczeństwa $_SESSION. Jeśli loguje się w taki sposłób: [PHP] pobierz, plaintext if($zapytanie = $polaczenie->query( sprintf("SELECT id_users, haslo, login, monety FROM users WHERE login = '%s'", mysqli_real_escape_string($polaczenie, $login)))) { $ile_login = $zapytanie->num_rows; if($ile_login > 0) { $wiersz = $zapytanie->fetch_assoc(); if(password_verify($haslo, $wiersz['haslo'])) { echo "zalogowany"; $_SESSION['zalogowany'] = true; $_SESSION['id'] = $wiersz['id_users']; $_SESSION['login'] = $wiersz['login']; $_SESSION['monety'] = $wiersz['monety']; $_SESSION['ranga'] = $wiersz['id_rangi']; $zapytanie->free_result(); header('Location: '.linkGenerator('news').''); }else{ header('Location: '.linkGenerator('logowanie').''); } }else { header('Location: '.linkGenerator('logowanie').''); } }else { throw new Exception($polaczenie->error); } [PHP] pobierz, plaintext i do tego na podstronie stosuje [PHP] pobierz, plaintext if(isset($_POST['submit'])) { try { if($polaczenie->connect_errno != 0) { throw new Exception($polaczenie-mysqli_connect_errno()); }else { [color="#FF0000"]$login = $_SESSION['id'];[/color] if(!$zapytanie = $polaczenie->query("SELECT * FROM message WHERE id_user = $login")) { throw new Exception($polaczenie->error); }else { //wyypisanie wiadomosci } $polaczenie->close(); } } }catch(Exception $e) { echo $e; } [PHP] pobierz, plaintext To czy ten drugi zapis jest bezpieczny? (Zaznaczyłęm na czerwono o które fragmenty głównie mi choodzi). Czy pobieranie z takiej sessi do zmiennej jest dobre i czy można w taką sesję ingerować przy tym zapisie? Ten post edytował djtomaszq 22.09.2016, 09:32:23

Odpowiedzi

Oklejek Zobacz profil	23.09.2016, 21:49:23 Post #2
Grupa: Zarejestrowani Postów: 21 Pomógł: 0 Dołączył: 30.01.2012 Ostrzeżenie: (0%)	A na przykład tak dla md5: [SQL] pobierz, plaintext $sql = "SELECT id_users, haslo, login, monety FROM users WHERE login = '%s' AND haslo = '".md5($_POST['haslo'])."'" [SQL] pobierz, plaintext Ten post edytował Oklejek 23.09.2016, 21:51:06

Spawnm Zobacz profil	23.09.2016, 22:54:39 Post #3
Grupa: Moderatorzy Postów: 4 069 Pomógł: 497 Dołączył: 11.05.2007 Skąd: Warszawa	Cytat(Oklejek @ 23.09.2016, 22:49:23 ) A na przykład tak dla md5: [SQL] pobierz, plaintext $sql = "SELECT id_users, haslo, login, monety FROM users WHERE login = '%s' AND haslo = '".md5($_POST['haslo'])."'" [SQL] pobierz, plaintext Zdajesz sobie sprawę że md5 już się nie korzysta + do hasła dodaje się sól + twój kod jest podatny na DoS bo zezwalasz na wsadzenie nieograniczenie długiego ciągu znaków do funkcji hashującej? (IMG:style_emoticons/default/wink.gif)

Posty w temacie

djtomaszq [PHP][MySQL]Bezpieczeństwo a $_SESSION 22.09.2016, 09:31:36

nospor Masz karygodny blad $login = $_SESSION[... 22.09.2016, 09:42:59

viking Dla pewności nigdy nie dopuszczaj aby dane szły do... 22.09.2016, 09:56:43

Rysh Dlaczego kolega sprawdza hasło w PHP zamiast od ra... 23.09.2016, 19:02:58

viking A jak ma sprawdzić zakodowane hasło od razu w bazi... 23.09.2016, 19:05:33

Oklejek A na przykład tak dla md5: [SQL] pobierz, plaintex... 23.09.2016, 21:49:23

Spawnm Cytat(Oklejek @ 23.09.2016, 22:49:23 ... 23.09.2016, 22:54:39

viking Chłop się zahibernował w 2000 i teraz powrócił 24.09.2016, 05:44:33

« Następny starszy · Przedszkole · Następny nowszy »

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Aktualny czas: 29.12.2025 - 21:59

Hosting zapewnia

Forum PHP.pl