[php][mysql]skrypt logowania-kilka pytań, pytania odnośnie tego kodu Opcje

[predator]

Przerobiłem troche znaleziony w internecie kod i wygląda on następująco:

index.php

[PHP] pobierz, plaintext 
<?php
  session_start();
 
  $login = $_POST["login"];
  $haslo = $_POST["haslo"];
 
 
  if(empty($_SESSION["zalogowany"]))$_SESSION["zalogowany"]=0;
 
  mysql_connect("", "", "")or die("Nie można nawiązać połączenia z bazą");
  mysql_select_db("")or die("Wystąpił błąd podczas wybierania bazy danych");
 
  function ShowLogin($komunikat=""){
	  echo "$komunikat<br>";
	  echo "<form action='index.php' method=post>";
	  echo "Login: <input type=text name=login><br>";
	  echo "Hasło: <input type=text name=haslo><br>";
	  echo "<input type=submit value='Zaloguj!'>";
	  echo "</form>";
	  echo "Jeśli nie jesteś zarejestrowany, <a href='rejestruj.php'>tu znajdziesz formularz</a>";
  }
 
  ?>
  <!DOCTYPE html 
	  PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN">
 <html>
  <head>
	  <title>logowanie</title>
  </head>
  <body>
  <?php
  if($_GET["wyloguj"]=="tak"){$_SESSION["zalogowany"]=0;echo "Zostałeś wylogowany";}
  if($_SESSION["zalogowany"]!=1){
	  if(!empty($login) && !empty($haslo)){
	  {
	  if(preg_match('#^[A-Za-z0-9_-]+$#', $login)){
 
		   
		  if(mysql_num_rows(mysql_query("select * from users where user_login = '".htmlspecialchars($login)."' AND user_haslo = '".htmlspecialchars(md5($haslo))."'"))){
			  echo "Zalogowano poprawnie. <a href='index.php'>Przejdź na stronę główną</a>";
			  $_SESSION["zalogowany"]=1;
			  $_SESSION['nick'] = htmlspecialchars($login);
			  } 
			  else echo ShowLogin("zle haslo!!!");
 
			  }
			  else echo ShowLogin("nie dozwolone znaki");
			  }
 
		  }
	  else ShowLogin();
  }
  else{
  ?>
  Zalogowałeś się pomyślnie!
  <br><a href='index.php?wyloguj=tak'>wyloguj się</a>
  <?php
  }
  ?>
 
  </body>
 </html>
  <?php mysql_close(); ?>
[PHP] pobierz, plaintext 

rejestruj.php

[PHP] pobierz, plaintext 
<?php
  mysql_connect("", "", "")or die("Nie można nawiązać połączenia z bazą"); //połączenie z bazą danych
  mysql_select_db("")or die("Wystąpił błąd podczas wybierania bazy danych");
 
  $login = $_POST["login"];
  $haslo = $_POST["haslo"];
 
  function ShowForm($komunikat=""){	//funkcja wyświetlająca formularz rejestracyjny
	  echo "$komunikat<br>";
	  echo "<form action='rejestruj.php' method=post>";
	  echo "Login: <input type=text name=login><br>";
	  echo "Hasło: <input type=text name=haslo><br>";
	  echo "<input type=hidden value='1' name=send>";
	  echo "<input type=submit value='Zarejestruj'>";
	  echo "</form>";
  }
  ?>
  <!DOCTYPE html 
	  PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN">
 <html>
  <head>
	  <title>Formularz rejestracyjny</title>
  </head>
  <body>
  <?php
  if($_POST["send"]==1){	//sprawdzanie czy formularz został wysłany
	  if(!empty($login) && !empty($haslo))	//oraz czy uzupełniono wszystkie dane
 
	  {
	  if(preg_match('#^[A-Za-z0-9_-]+$#', $login)){ //sprawdzenie poprawnosci znaków
 
		  if(mysql_num_rows(mysql_query("select * from users where user_login='".htmlspecialchars($login."'"))))ShowForm("Użytkownik o podanym loginie już istnieje!!!");// sprawdzanie czy użytkownik o podanej nazwie już istnieje
		  else 
		  {
			  mysql_query("insert into users values(NULL, '".htmlspecialchars($login)."', '".htmlspecialchars(md5($haslo))."')"); // zapisywanie rekordu do bazy
			  echo "Rejestracja przebiegła pomyślnie. Możesz teraz przejść do <a href='index.php'>strony głównej</a> i się zalogować.";
			  }
			  }
			  else ShowForm("nie dozwolone znaki");
			  }
 
	  else ShowForm("Nie uzupełniono wszystkich pól!!!");
  }
  else ShowForm();
  mysql_close(); //zamykanie połączenia z bazą
  ?>
  </body>
</html>
[PHP] pobierz, plaintext 

1. czy jest ten skrypt bezpieczny? jeśli nie to jakie zmiany proponujecie
2. jak zabezpieczyć najlepiej w md5() hasło do bazy danych?

[PHP] pobierz, plaintext 
<?php
mysql_connect("", "", "")or die("Nie można nawiązać połączenia z bazą");
  mysql_select_db("")or die("Wystąpił błąd podczas wybierania bazy danych");
?>
[PHP] pobierz, plaintext 

3. użyłem funkcji preg_match do zabezpieczenia formularza ale działa on tylko dla jednej zmiennej $login lub $haslo:

[PHP] pobierz, plaintext 
<?php
if(preg_match('#^[A-Za-z0-9_-]+$#', $login))
?>
[PHP] pobierz, plaintext 

gdy próbuje napisać tak(by obydwa pola formularza zabezpieczyć, bo co mi da że pole loginu zabezpiecze tylko jeśli w polu hasła można wpisać co sie chce..):

[PHP] pobierz, plaintext 
<?php
if(preg_match('#^[A-Za-z0-9_-]+$#', $login, $haslo))
?>
[PHP] pobierz, plaintext 

to pojawia sie błąd.

jak tego użyć by zabezpieczyć obydwa pola?

PS nie mam pojęcia dlaczego nie koloruje składni :/ być może kod html to powoduje ale nie wiem...

Ten post edytował predator 16.04.2008, 16:35:51

[predator]

Tak sie zastanawiam i przecież te polecenia z formularza są najpierw wysyłane do serwera i on je analizuje. Więc w bazie danych nic nikt nie namiesza ale na serwerze chyba może.

czy dobrze mówie?
----
właśnie do pliku błędy chciałbym by zapisywało ale co mam wpisać? (nie uczyłem sie w szkole angielskiego i z tej strony nie bardzo rozumiem tych wyjaśnień :/)

Swoją drogą, nie rozumiem, po co dodatkowo dajesz htmlspecialchars przy zapytaniu.

A za każdym razem, gdy wyświetlasz login (czy jakieś dane od użytownika) już na stronie - wtedy potraktuje te dane htmlspecialchars()

te pola (obydwa pętlami zabezpieczyłem) mimo że zabezpieczone to gdyby komuś jakimś cudem udało sie wprowadzić inne znaki niż te dozwolone to wtedy htmlspecialchars zabezpieczy.

jezeli serwer bedzie mial wylaczone magic_quotes to nie bedzie ten skrypt(y) zbyt bezpieczny

a co ktoś może zrobić?

--EDIT--

Kod

'".md5($haslo)."'

nawet gdyby ktoś wpisał coś nie dobrego to md5 itak to zakoduje więc chyba jednak nie potrzebne dodatkowo htmlspecialchars.

Jeśli wpisze w polu input cyfrę: 0 to informuje mnie ze nie wypelnłem wszystkich pól. Jak zrobić by 0 było traktowane nie jako puste pole a znak? Bo zamiast "nie wypełniłeś wszystkich pól" chciałbym by informowało po wprowadzeniu cyfry 0 że nie poprawne dane

}echo
ShowLogin("wprowadz login i haslo");

Crozin. Nie wiem dlaczego ale zamiast echo musze wpisać tu else. Gdy jest echo to jeśli wpisze błędne dane to pojawia sie "złe hasło" a pod formularzem pojawia sie następny formularz "wprowadz login i haslo". Jeśli wpisze inne niż dozwolone znaki to zamiast "nie dozwolone znaki" pojawia sie "wprowadz login i haslo", pod spodem nie pojawia sie następny formularz wtedy.

Przecież jesli sprawdza czy pola puste:

[PHP] pobierz, plaintext 
<?php
if(!empty($login) && !empty($haslo)){
[...]
 }else
			  ShowLogin("wprowadz login i haslo");
?>
[PHP] pobierz, plaintext 

i warunek jest że gdy nie (else) są puste to wypisz "wprowadz login i haslo"

To dlaczego gdy są puste, wyświetla "wprowadz login i haslo"? Przecież powinno wyświetlać tak gdy nie są puste. Z else działa ale nie rozumiem dlaczego.

Ten post edytował predator 21.04.2008, 10:46:23