Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [MySQL][PHP]Logowanie 2-etapowe (projekt)
gloweres
post
Post #1





Grupa: Zarejestrowani
Postów: 20
Pomógł: 0
Dołączył: 29.08.2020

Ostrzeżenie: (0%)
-----

Hej, zaprojektowałem proste logowanie 2-etapowe (na maila przychodzi kod do logowania po wpisaniu hasła).
Logowanie to jest używane tylko przez 2 osoby ale do bardzo wrażliwych danych więc mam następujące pytanie: czy jest bezpieczne? Może popełniłem jakiś błąd który może powodować "włam"? Dzięki z góry za odpowiedź (IMG:style_emoticons/default/smile.gif)


login.php
[PHP] pobierz, plaintext 
  1. <?php
  2.  
  3. session_start();
  4.  
  5. 	require 'dbsoft.php';
  6.  
  7.     $password = $_POST['password'];
  8.  
  9.     $email = htmlentities($_POST['email'], ENT_QUOTES, "UTF-8");
  10.  
  11.     $sekret = "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx";
  12.  
  13.     $sprawdz = file_get_contents('https://www.google.com/recaptcha/api/siteverify?secret='.$sekret.'&response='.$_POST['g-recaptcha-response']);
  14.  
  15.     $odpowiedz = json_decode($sprawdz);
  16.  
  17.     if ($odpowiedz->success==false)
  18.     {
  19.         $_SESSION['e_bot']="Potwierdź, że nie jesteś botem!";
  20.         header('Location: ../login.php');
  21.         exit();
  22.     }
  23.         $sql = 'SELECT * FROM account WHERE email=?';
  24.                         $statement = $connection->prepare($sql);
  25.                         $statement->execute([$email]);
  26.                         $oz = $statement->rowCount();
  27.  
  28.                 if($oz>0){
  29.  
  30.                 $row = $statement->fetchAll(PDO::FETCH_OBJ);
  31.  
  32.                 foreach($row as $rows):
  33.                 $password_base = $rows->password;
  34.                 $email = $rows->email;
  35.                 $id_base = $rows->id;
  36.                 endforeach;
  37.  
  38.                 if (password_verify($password, $password_base))
  39.                 {
  40.  
  41.                     $_SESSION['verify'] = true;
  42.                     $_SESSION['id_session'] = $id_base;
  43.  
  44.                     function random(int $i)
  45.                     {
  46.                         return substr(str_shuffle(str_repeat($x='0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ', ceil($i/strlen($x)) )),1,$i);
  47.                     }
  48.  
  49.                     $code = random(35);
  50.                     $now = time() + 900;
  51.                     $time = date("Y-m-d H:i:s");
  52.  
  53.                     $sql = "INSERT INTO verify_code (id_user, code, date, status_code) VALUES (?, ?, ?, ?)";
  54.                     $connection->prepare($sql)->execute([$id_base, $code, $now, 0]);	
  55.  
  56.                     $message="Kod do weryfikacji:\n\n$code\n\nWiadomosc zostala wygenerowana automatycznie: $time";
  57.                     $sender="From: domena.pl";
  58.                     @mail($email, "Kod weryfikacyjny", $message, $sender);
  59.  
  60.                     unset($_SESSION['error']);
  61.  
  62.                     $statement = null;
  63.                     $connection = null;
  64.  
  65.                     header('Location: verify.php');
  66.  
  67.                 }
  68.                 else 
  69.                 {
  70.  
  71.                     $_SESSION['error'] = '<span style="color:red">Nieprawidłowy login lub hasło!</span>';
  72.                     $statement = null;
  73.                     $connection = null;                    
  74.                     header('Location: ../login.php');
  75.  
  76.                 }
  77.  
  78.             } else {
  79.  
  80.                 $_SESSION['error'] = '<span style="color:red">Nieprawidłowy login lub hasło!</span>';
  81.                     $statement = null;
  82.                     $connection = null;
  83.                 header('Location: ../login.php');
  84.  
  85.             }
  86.  
  87.     $statement = null;
  88.     $connection = null;
  89.  
  90. ?>
[PHP] pobierz, plaintext



verify_check.php:
[PHP] pobierz, plaintext 
  1. <?php
  2.  
  3. session_start();
  4.  
  5. if (!isset($_SESSION['verify']))
  6. {
  7.   header('Location: ../login.php');
  8.   exit();
  9. }
  10.  
  11.  
  12. if(empty($_POST["code"]) || !isset($_POST["code"])){
  13.  
  14.   $_SESSION['error'] = '<span style="color:red">Nie podano kodu</span>';             
  15.   header('Location: verify.php');
  16.  
  17. }
  18.  
  19. $code = htmlentities($_POST["code"], ENT_QUOTES, "UTF-8");
  20.  
  21. require '../database_connect/dbsoft.php';
  22.  
  23. $sql = 'SELECT * FROM verify_code WHERE code=?';
  24. $statement = $connection->prepare($sql);
  25. $statement->execute([$code]);
  26.  
  27. $row = $statement->fetchAll(PDO::FETCH_OBJ);
  28.  
  29. foreach($row as $rows):
  30. $id_user = $rows->id_user;
  31. $date = $rows->date;
  32. $code_base = $rows->code;
  33. $status_base = $rows->status_code;
  34. $ide = $rows->id;
  35. endforeach;
  36.  
  37. $now = time();
  38.  
  39. if($status_base == 0){
  40.   if($code_base == $code){
  41.  
  42.     if($_SESSION['id_session'] == $id_user){
  43.  
  44.       if($now <= $date){
  45.  
  46.         $_SESSION['admin'] = true;
  47.  
  48.         $st = 1;
  49.  
  50.         $sql = "UPDATE verify_code SET status_code=? WHERE id=?";
  51.         $statement = $connection->prepare($sql);
  52.         $statement->execute([$st, $ide]);
  53.  
  54.         unset($_SESSION['verify']);
  55.  
  56.         $statement = null;
  57.         $connection = null;
  58.  
  59.         header('Location: ../../');
  60.         exit();
  61.  
  62.       }else{
  63.         echo 'Czas minał';
  64.       }
  65.  
  66.     }else{
  67.       echo 'To nie ty!';
  68.     }
  69.  
  70.   }else{
  71.    echo 'Nieprawidłowy kod';
  72.   }  
  73. }else{
  74.   echo 'Kod został zużyty';
  75. }
[PHP] pobierz, plaintext


Jeśli jest dobrze to proszę też o odpowiedź (IMG:style_emoticons/default/smile.gif)

Ten post edytował gloweres 9.11.2020, 03:00:50
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
Pyton_000
post
Post #2





Grupa: Zarejestrowani
Postów: 8 068
Pomógł: 1414
Dołączył: 26.10.2005

Ostrzeżenie: (0%)
-----

jedynie bym usuwał użyte kody, nie ma sensu ich trzymać. Poza tym da się żyć, ale bez composera co to za życie (IMG:style_emoticons/default/biggrin.gif)
Go to the top of the page
+Quote Post

Posty w temacie
- gloweres   [MySQL][PHP]Logowanie 2-etapowe (projekt)   10.11.2020, 17:15:35
- - SmokAnalog   Popraw wcięcia.   10.11.2020, 18:49:34
- - Pyton_000   jedynie bym usuwał użyte kody, nie ma sensu ich tr...   10.11.2020, 20:58:00
- - gloweres   Cytat(Pyton_000 @ 10.11.2020, 20:58:0...   10.11.2020, 21:41:13
|- - Pyton_000   Cytat(gloweres @ 10.11.2020, 21:41:13...   11.11.2020, 11:24:04
- - gino   można by się przyczepić jeszcze do generowania sa...   10.11.2020, 22:54:23
|- - dublinka   Cytat(gino @ 10.11.2020, 21:54:23 ) m...   11.11.2020, 11:25:07
- - dublinka   Ja jeszcze przed samym przypisaniem sesji wygenero...   11.11.2020, 11:20:39
- - viking   Włącz sobie jeszcze pełne raportowanie błędów i po...   11.11.2020, 12:04:30

« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 2.04.2026 - 08:11
Powered By IP.Board © 2026  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn