Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [php][mysql]skrypt logowania-kilka pytań, pytania odnośnie tego kodu
predator
post
Post #1





Grupa: Zarejestrowani
Postów: 40
Pomógł: 0
Dołączył: 20.02.2008

Ostrzeżenie: (0%)
-----

Przerobiłem troche znaleziony w internecie kod i wygląda on następująco:

index.php
[PHP] pobierz, plaintext 
  1. <?php
  2.   session_start();
  3.  
  4.   $login = $_POST["login"];
  5.   $haslo = $_POST["haslo"];
  6.  
  7.  
  8.   if(empty($_SESSION["zalogowany"]))$_SESSION["zalogowany"]=0;
  9.  
  10.   mysql_connect("", "", "")or die("Nie można nawiązać połączenia z bazą");
  11.   mysql_select_db("")or die("Wystąpił błąd podczas wybierania bazy danych");
  12.  
  13.   function ShowLogin($komunikat=""){
  14. 	  echo "$komunikat<br>";
  15. 	  echo "<form action='index.php' method=post>";
  16. 	  echo "Login: <input type=text name=login><br>";
  17. 	  echo "Hasło: <input type=text name=haslo><br>";
  18. 	  echo "<input type=submit value='Zaloguj!'>";
  19. 	  echo "</form>";
  20. 	  echo "Jeśli nie jesteś zarejestrowany, <a href='rejestruj.php'>tu znajdziesz formularz</a>";
  21.   }
  22.  
  23.   ?>
  24.   <!DOCTYPE html 
  25. 	  PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN">
  26.  <html>
  27.   <head>
  28. 	  <title>logowanie</title>
  29.   </head>
  30.   <body>
  31.   <?php
  32.   if($_GET["wyloguj"]=="tak"){$_SESSION["zalogowany"]=0;echo "Zostałeś wylogowany";}
  33.   if($_SESSION["zalogowany"]!=1){
  34. 	  if(!empty($login) && !empty($haslo)){
  35. 	  {
  36. 	  if(preg_match('#^[A-Za-z0-9_-]+$#', $login)){
  37.  
  38. 		   
  39. 		  if(mysql_num_rows(mysql_query("select * from users where user_login = '".htmlspecialchars($login)."' AND user_haslo = '".htmlspecialchars(md5($haslo))."'"))){
  40. 			  echo "Zalogowano poprawnie. <a href='index.php'>Przejdź na stronę główną</a>";
  41. 			  $_SESSION["zalogowany"]=1;
  42. 			  $_SESSION['nick'] = htmlspecialchars($login);
  43. 			  } 
  44. 			  else echo ShowLogin("zle haslo!!!");
  45.  
  46. 			  }
  47. 			  else echo ShowLogin("nie dozwolone znaki");
  48. 			  }
  49.  
  50. 		  }
  51. 	  else ShowLogin();
  52.   }
  53.   else{
  54.   ?>
  55.   Zalogowałeś się pomyślnie!
  56.   <br><a href='index.php?wyloguj=tak'>wyloguj się</a>
  57.   <?php
  58.   }
  59.   ?>
  60.  
  61.   </body>
  62.  </html>
  63.   <?php mysql_close(); ?>
[PHP] pobierz, plaintext


rejestruj.php
[PHP] pobierz, plaintext 
  1. <?php
  2.   mysql_connect("", "", "")or die("Nie można nawiązać połączenia z bazą"); //połączenie z bazą danych
  3.   mysql_select_db("")or die("Wystąpił błąd podczas wybierania bazy danych");
  4.  
  5.   $login = $_POST["login"];
  6.   $haslo = $_POST["haslo"];
  7.  
  8.   function ShowForm($komunikat=""){	//funkcja wyświetlająca formularz rejestracyjny
  9. 	  echo "$komunikat<br>";
  10. 	  echo "<form action='rejestruj.php' method=post>";
  11. 	  echo "Login: <input type=text name=login><br>";
  12. 	  echo "Hasło: <input type=text name=haslo><br>";
  13. 	  echo "<input type=hidden value='1' name=send>";
  14. 	  echo "<input type=submit value='Zarejestruj'>";
  15. 	  echo "</form>";
  16.   }
  17.   ?>
  18.   <!DOCTYPE html 
  19. 	  PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN">
  20.  <html>
  21.   <head>
  22. 	  <title>Formularz rejestracyjny</title>
  23.   </head>
  24.   <body>
  25.   <?php
  26.   if($_POST["send"]==1){	//sprawdzanie czy formularz został wysłany
  27. 	  if(!empty($login) && !empty($haslo))	//oraz czy uzupełniono wszystkie dane
  28.  
  29. 	  {
  30. 	  if(preg_match('#^[A-Za-z0-9_-]+$#', $login)){ //sprawdzenie poprawnosci znaków
  31.  
  32. 		  if(mysql_num_rows(mysql_query("select * from users where user_login='".htmlspecialchars($login."'"))))ShowForm("Użytkownik o podanym loginie już istnieje!!!");// sprawdzanie czy użytkownik o podanej nazwie już istnieje
  33. 		  else 
  34. 		  {
  35. 			  mysql_query("insert into users values(NULL, '".htmlspecialchars($login)."', '".htmlspecialchars(md5($haslo))."')"); // zapisywanie rekordu do bazy
  36. 			  echo "Rejestracja przebiegła pomyślnie. Możesz teraz przejść do <a href='index.php'>strony głównej</a> i się zalogować.";
  37. 			  }
  38. 			  }
  39. 			  else ShowForm("nie dozwolone znaki");
  40. 			  }
  41.  
  42. 	  else ShowForm("Nie uzupełniono wszystkich pól!!!");
  43.   }
  44.   else ShowForm();
  45.   mysql_close(); //zamykanie połączenia z bazą
  46.   ?>
  47.   </body>
  48. </html>
[PHP] pobierz, plaintext


1. czy jest ten skrypt bezpieczny? jeśli nie to jakie zmiany proponujecie
2. jak zabezpieczyć najlepiej w md5() hasło do bazy danych?
[PHP] pobierz, plaintext 
  1. <?php
  2. mysql_connect("", "", "")or die("Nie można nawiązać połączenia z bazą");
  3.   mysql_select_db("")or die("Wystąpił błąd podczas wybierania bazy danych");
  4. ?>
[PHP] pobierz, plaintext

3. użyłem funkcji preg_match do zabezpieczenia formularza ale działa on tylko dla jednej zmiennej $login lub $haslo: 
[PHP] pobierz, plaintext 
  1. <?php
  2. if(preg_match('#^[A-Za-z0-9_-]+$#', $login))
  3. ?>
[PHP] pobierz, plaintext

gdy próbuje napisać tak(by obydwa pola formularza zabezpieczyć, bo co mi da że pole loginu zabezpiecze tylko jeśli w polu hasła można wpisać co sie chce..):
[PHP] pobierz, plaintext 
  1. <?php
  2. if(preg_match('#^[A-Za-z0-9_-]+$#', $login, $haslo))
  3. ?>
[PHP] pobierz, plaintext

to pojawia sie błąd.

jak tego użyć by zabezpieczyć obydwa pola?

PS nie mam pojęcia dlaczego nie koloruje składni :/ być może kod html to powoduje ale nie wiem...

Ten post edytował predator 16.04.2008, 16:35:51
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
erix
post
Post #2





Grupa: Moderatorzy
Postów: 15 467
Pomógł: 1451
Dołączył: 25.04.2005
Skąd: Szczebrzeszyn/Rzeszów
Cytat
Nie mam takiego katalogu . Jak inaczej zabezpieczyć?

Jeśli masz dostęp do .htaccess, to za pomocą tego pliku możesz zabezpieczyć.

Cytat
Ale po zabezpieczeniu formularza (tak że po wprowadzeniu czego innego niż litery i cyfry zamiast przystępować do logowania pokazuje sie informacja) nie da sie chyba zastosowac SQL Injection.

Ach, faktycznie, moje niedopatrzenie. Ale strzeżonego Pan Bóg strzeże... Poza tym, nie masz możliwości wprowadzania innych znaków niż podstawowe ASCII (i to mniej). Więc np. polskie krzaczki odpadają chyba, że to celowe.

Cytat
Parse error: syntax error, unexpected '}'

Hmm, szczerze mówiąc, nie mam pomysłu, dlaczego tak się dzieje pomimo, że jest ustawione na zero... A innego rodzaju błędy są wypisywane? (np. notice, warning, itp)
Go to the top of the page
+Quote Post

Posty w temacie
- predator   [php][mysql]skrypt logowania-kilka pytań   15.04.2008, 17:28:23
- - erix   Zamiast htmlentities" title="Zobacz w manualu PHP"...   16.04.2008, 09:06:49
- - predator   CytatPoczytaj o preg_match Szukałem dług...   16.04.2008, 11:07:16
- - erix   CytatSzukałem długo jak zrobić, kom...   16.04.2008, 15:21:40
- - predator   CytatDa się, jeśli masz po zalogowaniu d...   16.04.2008, 16:52:05
- - erix   CytatNie mam takiego katalogu . Jak inaczej zabez...   16.04.2008, 17:05:29
- - predator   CytatA innego rodzaju błędy są wypi...   19.04.2008, 19:09:17
- - erix   CytatNie wiem jak takie błędy wywo...   20.04.2008, 20:03:59
- - pyro   jezeli serwer bedzie mial wylaczone magic_quotes t...   20.04.2008, 20:14:09
- - erix   http://pl2.php.net/manual/en/function.mysq...tring...   20.04.2008, 20:31:36
- - Crozin   index.php:[PHP] pobierz, plaintext <? session_...   20.04.2008, 21:46:33
- - predator   CytatTak sie zastanawiam i przecież te polece...   21.04.2008, 09:08:52
- - erix   Cytatte pola (obydwa pętlami zabezpieczyłem) mimo ...   21.04.2008, 13:35:47
- - predator   Kod<?php (string)$zmienna ?> ...   21.04.2008, 15:22:15
- - erix   Cytatnie rozumiem, jak mam tego użyć? Tak, jak pok...   21.04.2008, 15:28:03
|- - -predator-   Cytat(erix)[PHP] pobierz, plaintext <?phpempty...   22.04.2008, 11:32:48
- - predator   CytatChoć nie rozumiem trochę, po co... ...   21.04.2008, 16:21:01
- - erix   Cytatteraz jest ok ale tylko to że sie pojawi...   21.04.2008, 16:57:14
- - predator   nie, nie już poradziłem sobie z tamtym CytatNapi...   21.04.2008, 17:11:05
- - erix   [PHP] pobierz, plaintext <?phpif($_POST...   21.04.2008, 17:20:46
- - Mlodycompany   i jeszcze jedna moja uwaga. Przy wylogowywaniu zam...   21.04.2008, 17:22:17
- - predator   Chodziło o index.php bo tam jest to echo. Poprawił...   21.04.2008, 17:49:40
- - erix   Ja bym proponował Ci poprawić wszystkie klamry (na...   21.04.2008, 17:58:03
- - predator   Już rozumiem jak to działa, musi by...   21.04.2008, 18:50:35
- - potreb   [PHP] pobierz, plaintext <?phpif(!$login ...   22.04.2008, 14:57:09
- - predator   Cytati jeszcze jedna moja uwaga. Przy wylogowywani...   22.04.2008, 15:14:53
- - erix   Cytatale parse errory dalej sie pojawiają :/ ...   22.04.2008, 17:45:39
- - predator   CytatSwoją drogą, tak trochę zbacza...   22.04.2008, 18:18:25
- - erix   CytatAle ta funkcja (error_reporting(0) nie blokuj...   22.04.2008, 18:54:11
- - predator   CytatTo Ci podałem przepis z isset. też nie dział...   22.04.2008, 19:22:07
- - erix   A jaki kod Ci teraz wyszedł...? Co masz na myśli ...   22.04.2008, 19:52:18
- - predator   CytatA jaki kod Ci teraz wyszedł...? Kod $l...   22.04.2008, 20:13:55

« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 8.10.2025 - 03:02
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn