$_SESSION i Uwierzytelnianie - pytanie

$_SESSION i Uwierzytelnianie - pytanie

MGreg Zobacz profil	4.06.2008, 17:32:36 Post #1
Grupa: Zarejestrowani Postów: 24 Pomógł: 0 Dołączył: 18.09.2007 Ostrzeżenie: (0%)	Witam. Męczę się nad bezpiecznym systemem uwierzytelniania i proszę ocenić, czy takie coś będzie bezpieczne: [PHP] pobierz, plaintext <?php session_start(); if(isset($_POST['login']) and isset($_POST['haslo']) and $_GET['action']=='zaloguj') { $query = mysql_query("select * from `users` where `login`='".mysql_real_escape_string($_POST['login'])."' and `haslo`='".mysql_real_escape_string(md5($_POST['haslo'])).'"'); if(mysql_num_rows($query)>0) { $_SESSION['logged'] = 1; $_SESSION['username'] = $_POST['login']; } else { $_SESSION['logged']=0; { } if($_SESSION['logged']==1) { /* JAKIŚ TAM PANEL ADMINISTRACYJNY / } ?> [PHP] pobierz, plaintext Głównie chodzi mi o to, czy ktoś może zmienić wartość tablicy sesji $_SESSION['logged'] na 1 i tym samym zdobyć uprawnienia admina. Ten post edytował MGreg* 4.06.2008, 17:35:26

Odpowiedzi

marcio Zobacz profil	4.06.2008, 17:38:11 Post #2
Grupa: Zarejestrowani Postów: 2 291 Pomógł: 156 Dołączył: 23.09.2007 Skąd: ITALY-MILAN Ostrzeżenie: (10%)	Ja bym zmienil jak juz cos jedna rzecz zamiast dawac mysql_num_rows() wez sobie za pomoca mysql_fetch_assoc() sprawdzaj jeszcze raz dane to raz a dwa dodal bym else z header'em na google gdy ktos poda zle dane wtedy nie bedzie nic widzial etc ogolnie jak trzymasz identifikator w url to generuj za kazdym razem nowe id dla sesji i potem na kazdej podstawie sprawdzaj czy jest dany login z sesji w bazie

Posty w temacie

MGreg $_SESSION i Uwierzytelnianie - pytanie 4.06.2008, 17:32:36

marcio Ja bym zmienil jak juz cos jedna rzecz zamiast daw... 4.06.2008, 17:38:11

MGreg Umieściłem tylko przykład, dlatego nie dodawałem e... 4.06.2008, 17:52:21

pyro jeszcze zabezpieczenie przed XSS by można było ^^ 4.06.2008, 17:58:16

Shili Nie jest, ale czy dyrektywa session.use.cookies.on... 4.06.2008, 18:10:55

MGreg Cytat(Shili @ 4.06.2008, 19:10:55 ) @... 4.06.2008, 18:15:58

pyro Cytat(Shili @ 4.06.2008, 19:10:55 ) N... 4.06.2008, 20:15:32

LonelyKnight Cytat(pyro @ 4.06.2008, 21:15:32 ) No... 4.06.2008, 21:02:40

Cotter Cytat(LonelyKnight @ 4.06.2008, 22:02... 5.06.2008, 10:22:53

LonelyKnight Cytat(Cotter @ 5.06.2008, 11:22:53 ) ... 5.06.2008, 11:27:19

pyro Cytat(LonelyKnight @ 4.06.2008, 22:02... 5.06.2008, 15:49:34

LonelyKnight Cytat(pyro @ 5.06.2008, 16:49:34 ) Au... 6.06.2008, 12:00:38

Shili Nie nie, to było do @pyro. Powinnam była wyraźniej... 4.06.2008, 18:28:19

Shili Nieprawda, ale przekazywane jest tylko login i has... 4.06.2008, 20:27:34

MGreg Co do XSS stosuję strip_tags(); i chyba to mi wyst... 4.06.2008, 20:54:44

MGreg Zobaczcie czy teraz jest lepiej. Dodałem spra... 5.06.2008, 08:25:43

MGreg Wracając do tematu... czy może ktoś obiektywnie oc... 5.06.2008, 11:49:12

LonelyKnight Może być. session_regenerate_id(true) ... 5.06.2008, 12:33:43

wlamywacz Nie Select * tylko wybrane pola czyli Select pole1... 5.06.2008, 16:55:39

pyro Cytat(wlamywacz @ 5.06.2008, 17:55:39... 5.06.2008, 18:44:24

Shili Dalej nie ma tam żadnej wzmianki o tym, że autor c... 5.06.2008, 20:25:36

empathon http://www.acros.si/papers/session_fixation.pdf P... 5.06.2008, 23:59:08

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Aktualny czas: 26.12.2025 - 17:06

Hosting zapewnia

Forum PHP.pl