Skrypt Logowania a szyfrowanie, Mała korekta Opcje

[Fuli5]

Witam was ... Posiadam oto taki skrypt logowania. Wszystko fajnie działa tylko zapisuje on Haał i użytkowników do tabeli w basie msyql niekodowane i mogę wszystko podglądać. Ale to nie najważniejszy problem.

Pewnie dla większości z was nie stanowi peroblemu skopiowanie tego pliku/kodu. A jak wiadomo jest w nim jawne hasło i login do ojej bazy danych ... prosze o pomoc co nalezao by zmienić w tym kodzie aby po mój login i hasło nie było dla nikogo widoczne .... a przy okazji to już nie jest dla mnie takie ważne hasła użytkownika też były kodowane

oto kod:

[PHP] pobierz, plaintext 
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Frameset//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-frameset.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
 
<head>
<meta content="text/html; charset=utf-8" http-equiv="Content-Type" />
<title>Logowanie</title>
</head>
 
<body>
 
<?php
session_start();
session_register("zalogowany");
 
if(empty($_SESSION["zalogowany"]))$_SESSION["zalogowany"]=0;
 
mysql_connect("localhost", "login", "hasło")or die("Nie można nawiązać połączenia z bazą");
mysql_select_db("Fuli5_login")or die("Wystąpił błąd podczas wybierania bazy danych");
 
function ShowLogin($komunikat=""){
echo "$komunikat<br>";
echo "<form action='index.php' method=post>";
echo "Login: <input type=text name=login><br>";
echo "Hasło: <input type=text name=haslo><br>";
echo "<input type=submit value='Zaloguj!'>";
echo "</form>";
}
 
?>
<!DOCTYPE html 
PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="pl" lang="pl">
<head>
<title>Portal Klienta</title>
</head>
<body>
<?php
if($_GET["wyloguj"]=="tak"){$_SESSION["zalogowany"]=0;echo "Zostałeś wylogowany";}
if($_SESSION["zalogowany"]!=1){
if(!empty($_POST["login"]) && !empty($_POST["haslo"])){
if(mysql_num_rows(mysql_query("select * from users where user_login = '".htmlspecialchars($_POST["login"])."' AND user_haslo = '".htmlspecialchars($_POST["haslo"])."'"))){
echo "Zalogowano poprawnie. <a href='http://www.finanserzeszow.pl/test/login/private/user.php'>Możesz teraz przejść do Portalu Klienta</a>";
$_SESSION["zalogowany"]=1;
}
else echo ShowLogin("Podano złe dane!!!");
}
else ShowLogin();
}
else{
?>
Zalogowałeś Zalogowany! <br />
<br />
Możesz teraz przejść do <br />
Portalu Klienta, <a href="http://www.finanserzeszow.pl/login/private...">Tutaj </a>
<br />
<br><a href='index.php?wyloguj=tak'>wyloguj się</a>
<?php
}
?>
 
</body>
</html>
<?php mysql_close(); ?></body>
 
</html>
[PHP] pobierz, plaintext 

Ten post edytował Fuli5 20.12.2008, 01:50:08

[ultra_18]

szczerze mowiac nie trzeba sie wczytywac w kod żeby wiedzieć ocb. Fuli widziałeś kiedyś kod skryptow php na stronie bo ja nie. To co jest widoczne dla innych to jedynie fragmenty zwracane przez echo lub print.
Co do kodowania hasel to wystarczy zmienic type z text na password i wez uzywaj cudzysłowów (w znacznikach html)!

[decha-design]

i wez uzywaj cudzysłowów (w znacznikach html)!

co do tej rady, to jeszcze dodam coś od siebie ... używaj również apostrofów przy echo etc. np.

zamiast

[PHP] pobierz, plaintext 
<?php
echo "<img src=\"image.jpg\" width=\"100\" height=\"100\" />";
?>
[PHP] pobierz, plaintext 

wystarczy zrobić coś takiego

[PHP] pobierz, plaintext 
<?php
echo '<img src="image.jpg" width="100" height="100" />';
?>
[PHP] pobierz, plaintext