Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [PHP] przekazywanie ostrzeżen ze skryptu logującego do formularza
paffcio87
post
Post #1





Grupa: Zarejestrowani
Postów: 15
Pomógł: 0
Dołączył: 26.02.2008

Ostrzeżenie: (0%)
-----

Wityam :-)
Mam taki mały problem. Mianowicie mam takie 2 skrypty odpowiedzialne za lpogowanie użytkowników na stronę.
Formularz
[PHP] pobierz, plaintext 
  1. <?php /*
  2. session_start;
  3. if (isset($_SESSION['pass']) or ($_SESSION['login'])) {
  4.    echo $message;
  5.    exit();
  6. } //To jest próba naprawienia mojego problemu
  7. */?>
  8. <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0//EN">  
  9. <HTML>  
  10.   <head>
  11. <meta http-equiv="content-type" content="text/html; charset=UTF-8" >  
  12. 	<meta name="generator" content="Bluefish 1.0.7">  
  13. 	<META HTTP-EQUIV="Content Type" CONTENT="text/html;charset=iso-8859-2">  
  14. 	   <TITLE>  
  15. 	  Logowanie  
  16. 	</TITLE>  
  17. 		<LINK REL="stylesheet" HREF="Style.css" TYPE="text/css">  
  18.  
  19. <TABLE>  
  20.   <TR>  
  21.    <TD>  
  22.    <?php  
  23. include("./menu.inc");  
  24. 	 ?>  
  25.    </TD>
  26.  </TR>
  27.  </TABLE>
  28. <center><TABLE>
  29.  <TR>
  30.    <TD>  
  31.    <form action="login.php" method="POST" onreset="(!confirm('Na pewno?')) return false">
  32.  <LEGEND>  
  33.    <H2>Podaj dane swojego konta:</H2>  
  34. </LEGEND>  
  35.   <p><h6>Login: <input type= "text" name= "log" size="15" maxlengh= "10"></h6></p>  
  36.   <p><h6>Hasło: <input type= "password" name= "password" size= "15" maxlength= "20"></h6></p>  
  37. <div align="center"><input type= "submit" name= "submit" value="Zaloguj!"></div>
  38. </form>
  39. </TD>
  40.  </TR>  
  41. </TABLE></center>  
  42. </BODY>  
  43. </HTML>
[PHP] pobierz, plaintext

oraz
skrypt logujący
[PHP] pobierz, plaintext 
  1. <?php
  2. $message= NULL;
  3. ob_start();
  4. require_once('./config.php'); 
  5. session_start();
  6. $log = $_POST['log'];
  7. $password = $_POST['password'];
  8.  
  9. mysql_connect($dbhost, $dbuser, $dbpass);
  10. mysql_select_db($dbname);
  11. $query = mysql_query ("SELECT * FROM userzy WHERE login='$log'");
  12. $row = mysql_fetch_array ($query);
  13.  
  14. if($row) {
  15.   if(($password) == base64_decode($row['haslo'])) {
  16.    $_SESSION['logowanie']= $log;
  17. 	   header("Location: index.php"); 
  18. 	 } else {
  19. $message .= "Podane hasło jest niepoprawne!!!";
  20.    $_SESSION['pass'] = $message;
  21. 	header("Location: logowanie.php");
  22. 		}
  23. } else {
  24. 	$message .= "Podane przez Ciebie konto nie istnieje";
  25. 	$_SESSION['login'] = $message;
  26. 	header("Location: logowanie.php");	
  27. 	 
  28. }
  29. mysql_close();
  30. ob_end_flush;
  31. ?>
[PHP] pobierz, plaintext

I teraz mój problem polega na tym, że chem zrobić coś takiego, że jak user powiedzmy poda złe hasło (lub login) to przekierowuje go na strone z formularzem i wyskakuje napis "Podane hasło jest niepoprawne!!!" i adekwatnie ze złym loginem (Napis: "Podane przez Ciebie konto nie istnieje") nad formularzem logowania. Chciałbym żeby takie coś działo się tylko w przypadku gdy ktoś poda złe dane- kiedy loguje się po raz pierwszy to nie ma nic po za formularzem. Mam nadzieje, że wiecie o co mi chodzi :-)
Szukałem podobnego tematu, ale nie znalalęm więc proszę Was o pomoc :-)
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
guitarnet.pl
post
Post #2





Grupa: Zarejestrowani
Postów: 74
Pomógł: 4
Dołączył: 7.03.2008

Ostrzeżenie: (0%)
-----

1) kontrola ip podczas logowania to juz podstawa bezpieczenstwa to juz nie opcja, niestety jesli uzytkownik ma zmienne ip to dla jego dobra nalezy sesje niszczyc i uniemozliwc autologwanie do serwisu - odsylam do http://phpsec.org/projects/guide/4.html o bezpieczenstwie sesji

2) dodatkowa zmienna unikalna dla twojego serwisu resetowana przy kazdym poprawnym logowaniu co utrudni (nie uniemozliwi) porywaczowi id sesji uzycie jej zakladajac ze znajduje sie on w tej samej podsieci i ma ten sam numer ip, wartosc ta powinna byc trzymana w bazie najlepiej w postaci niejawnej i rotowana jak wyzej, podobnie jak token bankowy

3) nie ma 100% zabezpieczenia sesji, sesja z definicji jest dyskusyjna jesli chodzi o bezpieczenstwo

4) Sabistik
oczywiscie ktos wysnifuje twoje haslo i przechwyci np:
login: marcink
haslo: 0ikjn68jh6g7jk97m08k <- juz zakodowane haslo w np md5 (minimum sha1 zalecany)

twoj system otrzyma pare login+haslo i zacznie przetwarzac login + wynik md5(0ikjn68jh6g7jk97m08k)
w wyniku czego otrzymamy nowe haslo np. 8ujh7891nk1289kn1tr7
co nie odpowiada prawdziwej wartosci hasla wpisanego prze zuzytkownika w postaci jawnej, zatem podsluchiwacz ma teraz dwa wyjscia:
- 1 - odgadywac haslo zakodowane w md5 np prze brute force (odsylam wikipedia) co jest wysoce niemozliwe do zrobienia
- 2 - odgadnac inny wyraz ktory daje identyczna wynik po parsowaniu szyfrem md5

o ile pierwsza opcja jest niemozliwa z definicji o tyle druga jak najbardziej co udowodnil chinski wykladowca wykorzystujac birthday efekt poprzez szukanie powtorzen w parze wynikowej (wikipedia birthday effect)

podsumowujac takie rozwiazanie to nie bzdura to standard! w dzisiejszych czasach jelsi ktos nie stosuje kodowania ssl
jesli ktos ma wiecej pytan o bezpieczenstwie chetnie odpowiem
Go to the top of the page
+Quote Post

Posty w temacie
- paffcio87   [PHP] przekazywanie ostrzeżen ze skryptu logującego do formularza   2.04.2008, 19:08:48
- - wlamywacz   Człowieku prima aprilis było wczoraj... [PHP] pob...   2.04.2008, 19:18:24
- - paffcio87   Witam ponownie sorki, że dopiero teraz odpisu...   4.04.2008, 15:50:31
- - wlamywacz   Zrób tak i powiedz czy działa: [PHP] pobierz, plai...   4.04.2008, 18:28:44
- - net-pl   Biała strona - Bo dałeś exit(); Buforowania nie da...   5.04.2008, 08:52:24
- - paffcio87   Oki wygląda na to, że działa .Tylk...   6.04.2008, 20:13:44
- - wlamywacz   Może klikniesz pomógł ; p Jeśli dane ok -> prz...   7.04.2008, 14:48:07
- - guitarnet.pl   jak juz piszesz logowanie to: - poczytaj o sessio...   8.04.2008, 04:32:51
- - Sabistik   Ja troche OT ale... Cytat- zauwazylem tez ze przes...   8.04.2008, 19:47:49
- - l0ud   Cytat- poczytaj o session hijacking - konieczni es...   8.04.2008, 20:11:57
- - wlamywacz   Ogólnie dla mnie herezja i spam raport   8.04.2008, 21:04:08
- - guitarnet.pl   1) kontrola ip podczas logowania to juz podstawa b...   8.04.2008, 21:12:12
|- - Sabistik   Cytat(guitarnet.pl @ 8.04.2008, 22:12...   8.04.2008, 21:27:01
- - l0ud   guitarnet.pl, nie zrozumiałeś Sebastik a...   8.04.2008, 21:25:31
- - wlamywacz   guitarnet.pl Próbujesz robić z siebie eksperta jed...   8.04.2008, 21:33:48
- - guitarnet.pl   nie jestem ekspertem i nigdy nie bede, zapewne z b...   8.04.2008, 22:18:58
- - Sabistik   Cytatnie wiem czy to powszechne ale ja nie pozwala...   8.04.2008, 22:52:17
- - paffcio87   Hehe widze, że prosząc Was o pomoc wywołałem niezł...   8.04.2008, 23:22:13
- - Kicok   Myślę, że hash'owanie hasła po stronie przeglą...   9.04.2008, 14:05:34
- - wlamywacz   CytatNie ma też problemu z przeglądarkami w któryc...   9.04.2008, 16:19:12
- - Kicok   CytatChyba nie przemyślałeś tego co napisałeś... ...   13.04.2008, 20:58:17
- - Babcia@Stefa   Moim zdaniem najlepiej sprawdzać utworzoną zmienną...   14.04.2008, 06:27:36

« Następny starszy · PHP · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 8.10.2025 - 18:09
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn