Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [MySQL][PHP]Logowanie 2-etapowe (projekt)
gloweres
post
Post #1





Grupa: Zarejestrowani
Postów: 20
Pomógł: 0
Dołączył: 29.08.2020

Ostrzeżenie: (0%)
-----

Hej, zaprojektowałem proste logowanie 2-etapowe (na maila przychodzi kod do logowania po wpisaniu hasła).
Logowanie to jest używane tylko przez 2 osoby ale do bardzo wrażliwych danych więc mam następujące pytanie: czy jest bezpieczne? Może popełniłem jakiś błąd który może powodować "włam"? Dzięki z góry za odpowiedź (IMG:style_emoticons/default/smile.gif)


login.php
[PHP] pobierz, plaintext 
  1. <?php
  2.  
  3. session_start();
  4.  
  5. 	require 'dbsoft.php';
  6.  
  7.     $password = $_POST['password'];
  8.  
  9.     $email = htmlentities($_POST['email'], ENT_QUOTES, "UTF-8");
  10.  
  11.     $sekret = "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx";
  12.  
  13.     $sprawdz = file_get_contents('https://www.google.com/recaptcha/api/siteverify?secret='.$sekret.'&response='.$_POST['g-recaptcha-response']);
  14.  
  15.     $odpowiedz = json_decode($sprawdz);
  16.  
  17.     if ($odpowiedz->success==false)
  18.     {
  19.         $_SESSION['e_bot']="Potwierdź, że nie jesteś botem!";
  20.         header('Location: ../login.php');
  21.         exit();
  22.     }
  23.         $sql = 'SELECT * FROM account WHERE email=?';
  24.                         $statement = $connection->prepare($sql);
  25.                         $statement->execute([$email]);
  26.                         $oz = $statement->rowCount();
  27.  
  28.                 if($oz>0){
  29.  
  30.                 $row = $statement->fetchAll(PDO::FETCH_OBJ);
  31.  
  32.                 foreach($row as $rows):
  33.                 $password_base = $rows->password;
  34.                 $email = $rows->email;
  35.                 $id_base = $rows->id;
  36.                 endforeach;
  37.  
  38.                 if (password_verify($password, $password_base))
  39.                 {
  40.  
  41.                     $_SESSION['verify'] = true;
  42.                     $_SESSION['id_session'] = $id_base;
  43.  
  44.                     function random(int $i)
  45.                     {
  46.                         return substr(str_shuffle(str_repeat($x='0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ', ceil($i/strlen($x)) )),1,$i);
  47.                     }
  48.  
  49.                     $code = random(35);
  50.                     $now = time() + 900;
  51.                     $time = date("Y-m-d H:i:s");
  52.  
  53.                     $sql = "INSERT INTO verify_code (id_user, code, date, status_code) VALUES (?, ?, ?, ?)";
  54.                     $connection->prepare($sql)->execute([$id_base, $code, $now, 0]);	
  55.  
  56.                     $message="Kod do weryfikacji:\n\n$code\n\nWiadomosc zostala wygenerowana automatycznie: $time";
  57.                     $sender="From: domena.pl";
  58.                     @mail($email, "Kod weryfikacyjny", $message, $sender);
  59.  
  60.                     unset($_SESSION['error']);
  61.  
  62.                     $statement = null;
  63.                     $connection = null;
  64.  
  65.                     header('Location: verify.php');
  66.  
  67.                 }
  68.                 else 
  69.                 {
  70.  
  71.                     $_SESSION['error'] = '<span style="color:red">Nieprawidłowy login lub hasło!</span>';
  72.                     $statement = null;
  73.                     $connection = null;                    
  74.                     header('Location: ../login.php');
  75.  
  76.                 }
  77.  
  78.             } else {
  79.  
  80.                 $_SESSION['error'] = '<span style="color:red">Nieprawidłowy login lub hasło!</span>';
  81.                     $statement = null;
  82.                     $connection = null;
  83.                 header('Location: ../login.php');
  84.  
  85.             }
  86.  
  87.     $statement = null;
  88.     $connection = null;
  89.  
  90. ?>
[PHP] pobierz, plaintext



verify_check.php:
[PHP] pobierz, plaintext 
  1. <?php
  2.  
  3. session_start();
  4.  
  5. if (!isset($_SESSION['verify']))
  6. {
  7.   header('Location: ../login.php');
  8.   exit();
  9. }
  10.  
  11.  
  12. if(empty($_POST["code"]) || !isset($_POST["code"])){
  13.  
  14.   $_SESSION['error'] = '<span style="color:red">Nie podano kodu</span>';             
  15.   header('Location: verify.php');
  16.  
  17. }
  18.  
  19. $code = htmlentities($_POST["code"], ENT_QUOTES, "UTF-8");
  20.  
  21. require '../database_connect/dbsoft.php';
  22.  
  23. $sql = 'SELECT * FROM verify_code WHERE code=?';
  24. $statement = $connection->prepare($sql);
  25. $statement->execute([$code]);
  26.  
  27. $row = $statement->fetchAll(PDO::FETCH_OBJ);
  28.  
  29. foreach($row as $rows):
  30. $id_user = $rows->id_user;
  31. $date = $rows->date;
  32. $code_base = $rows->code;
  33. $status_base = $rows->status_code;
  34. $ide = $rows->id;
  35. endforeach;
  36.  
  37. $now = time();
  38.  
  39. if($status_base == 0){
  40.   if($code_base == $code){
  41.  
  42.     if($_SESSION['id_session'] == $id_user){
  43.  
  44.       if($now <= $date){
  45.  
  46.         $_SESSION['admin'] = true;
  47.  
  48.         $st = 1;
  49.  
  50.         $sql = "UPDATE verify_code SET status_code=? WHERE id=?";
  51.         $statement = $connection->prepare($sql);
  52.         $statement->execute([$st, $ide]);
  53.  
  54.         unset($_SESSION['verify']);
  55.  
  56.         $statement = null;
  57.         $connection = null;
  58.  
  59.         header('Location: ../../');
  60.         exit();
  61.  
  62.       }else{
  63.         echo 'Czas minał';
  64.       }
  65.  
  66.     }else{
  67.       echo 'To nie ty!';
  68.     }
  69.  
  70.   }else{
  71.    echo 'Nieprawidłowy kod';
  72.   }  
  73. }else{
  74.   echo 'Kod został zużyty';
  75. }
[PHP] pobierz, plaintext


Jeśli jest dobrze to proszę też o odpowiedź (IMG:style_emoticons/default/smile.gif)

Ten post edytował gloweres 9.11.2020, 03:00:50
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
gino
post
Post #2





Grupa: Zarejestrowani
Postów: 324
Pomógł: 52
Dołączył: 18.02.2008

Ostrzeżenie: (0%)
-----

można by się przyczepić jeszcze do generowania samych kodów, istnieje prawdopodobieństwo powtórzenia się kodu, więc albo jak Pyton pisał usuwać, albo jakiś mocniejszy algorytm np GUID
Go to the top of the page
+Quote Post
dublinka
post
Post #3





Grupa: Zarejestrowani
Postów: 594
Pomógł: 66
Dołączył: 22.02.2008
Skąd: Dublin

Ostrzeżenie: (0%)
-----

Cytat(gino @ 10.11.2020, 21:54:23 ) *
można by się przyczepić jeszcze do generowania samych kodów, istnieje prawdopodobieństwo powtórzenia się kodu

Z takim ciagiem praktycznie niemozliwe
Go to the top of the page
+Quote Post

Posty w temacie
- gloweres   [MySQL][PHP]Logowanie 2-etapowe (projekt)   10.11.2020, 17:15:35
- - SmokAnalog   Popraw wcięcia.   10.11.2020, 18:49:34
- - Pyton_000   jedynie bym usuwał użyte kody, nie ma sensu ich tr...   10.11.2020, 20:58:00
- - gloweres   Cytat(Pyton_000 @ 10.11.2020, 20:58:0...   10.11.2020, 21:41:13
|- - Pyton_000   Cytat(gloweres @ 10.11.2020, 21:41:13...   11.11.2020, 11:24:04
- - gino   można by się przyczepić jeszcze do generowania sa...   10.11.2020, 22:54:23
|- - dublinka   Cytat(gino @ 10.11.2020, 21:54:23 ) m...   11.11.2020, 11:25:07
- - dublinka   Ja jeszcze przed samym przypisaniem sesji wygenero...   11.11.2020, 11:20:39
- - viking   Włącz sobie jeszcze pełne raportowanie błędów i po...   11.11.2020, 12:04:30

« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 2.04.2026 - 06:35
Powered By IP.Board © 2026  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn