$_SESSION i Uwierzytelnianie - pytanie

$_SESSION i Uwierzytelnianie - pytanie

MGreg Zobacz profil	4.06.2008, 17:32:36 Post #1
Grupa: Zarejestrowani Postów: 24 Pomógł: 0 Dołączył: 18.09.2007 Ostrzeżenie: (0%)	Witam. Męczę się nad bezpiecznym systemem uwierzytelniania i proszę ocenić, czy takie coś będzie bezpieczne: [PHP] pobierz, plaintext <?php session_start(); if(isset($_POST['login']) and isset($_POST['haslo']) and $_GET['action']=='zaloguj') { $query = mysql_query("select * from `users` where `login`='".mysql_real_escape_string($_POST['login'])."' and `haslo`='".mysql_real_escape_string(md5($_POST['haslo'])).'"'); if(mysql_num_rows($query)>0) { $_SESSION['logged'] = 1; $_SESSION['username'] = $_POST['login']; } else { $_SESSION['logged']=0; { } if($_SESSION['logged']==1) { /* JAKIŚ TAM PANEL ADMINISTRACYJNY / } ?> [PHP] pobierz, plaintext Głównie chodzi mi o to, czy ktoś może zmienić wartość tablicy sesji $_SESSION['logged'] na 1 i tym samym zdobyć uprawnienia admina. Ten post edytował MGreg* 4.06.2008, 17:35:26

Odpowiedzi

Shili Zobacz profil	5.06.2008, 20:25:36 Post #2
Grupa: Zarejestrowani Postów: 1 085 Pomógł: 231 Dołączył: 12.05.2008 Ostrzeżenie: (0%)	Dalej nie ma tam żadnej wzmianki o tym, że autor chce wyświetlać tekst pochodzący z formularza. Już nawet napisałam, że może tam spokojnie umieścić swoje wszystkie hasła, ale póki tego nie zrobi nie ma po co męczyć go stwierdzeniami: pamiętaj, nie wypisuj swoich haseł na stronie (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) Jedna uwaga - jeśli action jest logout, to mimo wszystko wykona się dalszy kawałek kodu. Co prawda pewnie nic się nie stanie, ale po co maszyna ma mielić coś, czego użytkownik nie ma na myśli. Spokojnie użyj tam else.

Posty w temacie

MGreg $_SESSION i Uwierzytelnianie - pytanie 4.06.2008, 17:32:36

marcio Ja bym zmienil jak juz cos jedna rzecz zamiast daw... 4.06.2008, 17:38:11

MGreg Umieściłem tylko przykład, dlatego nie dodawałem e... 4.06.2008, 17:52:21

pyro jeszcze zabezpieczenie przed XSS by można było ^^ 4.06.2008, 17:58:16

Shili Nie jest, ale czy dyrektywa session.use.cookies.on... 4.06.2008, 18:10:55

MGreg Cytat(Shili @ 4.06.2008, 19:10:55 ) @... 4.06.2008, 18:15:58

pyro Cytat(Shili @ 4.06.2008, 19:10:55 ) N... 4.06.2008, 20:15:32

LonelyKnight Cytat(pyro @ 4.06.2008, 21:15:32 ) No... 4.06.2008, 21:02:40

Cotter Cytat(LonelyKnight @ 4.06.2008, 22:02... 5.06.2008, 10:22:53

LonelyKnight Cytat(Cotter @ 5.06.2008, 11:22:53 ) ... 5.06.2008, 11:27:19

pyro Cytat(LonelyKnight @ 4.06.2008, 22:02... 5.06.2008, 15:49:34

LonelyKnight Cytat(pyro @ 5.06.2008, 16:49:34 ) Au... 6.06.2008, 12:00:38

Shili Nie nie, to było do @pyro. Powinnam była wyraźniej... 4.06.2008, 18:28:19

Shili Nieprawda, ale przekazywane jest tylko login i has... 4.06.2008, 20:27:34

MGreg Co do XSS stosuję strip_tags(); i chyba to mi wyst... 4.06.2008, 20:54:44

MGreg Zobaczcie czy teraz jest lepiej. Dodałem spra... 5.06.2008, 08:25:43

MGreg Wracając do tematu... czy może ktoś obiektywnie oc... 5.06.2008, 11:49:12

LonelyKnight Może być. session_regenerate_id(true) ... 5.06.2008, 12:33:43

wlamywacz Nie Select * tylko wybrane pola czyli Select pole1... 5.06.2008, 16:55:39

pyro Cytat(wlamywacz @ 5.06.2008, 17:55:39... 5.06.2008, 18:44:24

Shili Dalej nie ma tam żadnej wzmianki o tym, że autor c... 5.06.2008, 20:25:36

empathon http://www.acros.si/papers/session_fixation.pdf P... 5.06.2008, 23:59:08

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Aktualny czas: 24.12.2025 - 20:22

Hosting zapewnia

Forum PHP.pl