Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> Bezpieczenstwo kodu
no_face
post
Post #1





Grupa: Zarejestrowani
Postów: 346
Pomógł: 23
Dołączył: 28.11.2004

Ostrzeżenie: (0%)
-----

Witam Was.

Mam oto takie pytanie. Glownie chodzi mi o bezpieczenstwo.
Wymyslilem taki oto sposob uwierzytelniania i chcialbym sie dowiedziec czy jest bezpieczny i nie kryje w sobie jakis bonusow.

1. Dostaje z formularza nick i pass.
2. Wybieram z bazy haslo dla podanego w formularzu nicku i jeszcze raz nick (co jest raczej zbedne).
3. Sprawdzam czy podane dane z formularza pasuja do danych wyciagnietych z bazy.

Oto cala filozofia. Martwi mnie punkt 2. Czy jest to bezpieczne rozwiazanie, prosze o porade.
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
number0
post
Post #2





Grupa: Zarejestrowani
Postów: 14
Pomógł: 0
Dołączył: 12.03.2004
Skąd: Warszawa

Ostrzeżenie: (0%)
-----

Cytat(zombie @ 2005-08-13 00:06:47)
if (mysql_num_rows($result) > 0){
// autoryzacja
} else {
// nie ma bata!
}

bład autoryzacja powinna nastąpić
tylko gdy zostanie zwrucony tylko 1 rekord

Poprawny kod
[PHP] pobierz, plaintext 
  1. <?php
  2.  
  3.  
  4. // filtrowanie danych
  5. $user_f = mysql_escape_string($user_f );
  6. $pass_f = mysql_escape_string($pass_f );
  7.  
  8. $sql = "SELECT COUNT(*) AS num_users
  9. 		   FROM " . USER_TABLE . "
  10. 		   WHERE
  11. 			   " . USER_TABLE_LOGIN . "='$user_f' AND
  12. 			   " . USER_TABLE_PASSW . "='$pass_f'";
  13.  
  14. $result = $this->db->query($sql);
  15. $row = $result->fetch();
  16.  
  17. if ($row['num_users'] != 1) {
  18. 	// brak autoryzacji
  19. } else {
  20. 	//autoryzacja
  21. }
  22. ?>
[PHP] pobierz, plaintext
Go to the top of the page
+Quote Post

Posty w temacie
- no_face   Bezpieczenstwo kodu   12.08.2005, 10:40:09
- - zombie   Chyba nie do końca rozumiem, ale zdecydowanie nieb...   12.08.2005, 12:31:35
- - no_face   Co do hasel to oczywiscie ze sa zahaszowane sha1()...   12.08.2005, 21:56:47
- - zombie   wystarczy przecież:[PHP] pobierz, plaintext <?p...   12.08.2005, 23:06:47
- - number0   Cytat(zombie @ 2005-08-13 00:06:47)if (mysql_...   13.08.2005, 19:12:43
- - no_face   Przepraszam ze dopiero po tak dlugim okresie sie o...   30.08.2005, 21:21:02

« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 11.10.2025 - 19:21
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn