[skrypt] bezpieczne logowanie

[skrypt] bezpieczne logowanie

kiamil Zobacz profil	23.12.2008, 19:14:23 Post #1
Grupa: Zarejestrowani Postów: 26 Pomógł: 0 Dołączył: 16.03.2008 Ostrzeżenie: (0%)	Link do dema: DEMO Link do kodu: CODE Zapraszam do oceniania, autoryzacja oparta na jednej zmiennej sesyjnej, IMHO unikalny skrypt. Potrzebwałbym też porady dotyczące bezpieczeństwa.

Odpowiedzi

erix Zobacz profil	23.12.2008, 21:52:30 Post #2
Grupa: Moderatorzy Postów: 15 467 Pomógł: 1451 Dołączył: 25.04.2005 Skąd: Szczebrzeszyn/Rzeszów	Cytat Odstępów nigdy nie robiłem Pora zacząć. (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) Kod global $_SESSION; global $cfg; Blah, na chorobę globalizować $_SESSION? Skoro piszesz jakieś skrypty zdobądź chociaż podstawy... (IMG:http://forum.php.pl/style_emoticons/default/dry.gif) Kod return sha1(time().$nick); IMHO trochę za słaby ten token... Masz funkcje generowania liczb pseudolosowych, /dev/urandom, uniqid" title="Zobacz w manualu PHP" target="_manual... Poza tym, nie wiem, po co podajesz użytkownikowi token... Kod <? session_start(); session_regenerate_id(); ?> A na szto tak? Kod md5('adm'.$cfg['salt']) MD5 za bezpieczne nie jest. Ogólnie: kod nieczytelny, nic rewelacyjnego.

.radex Zobacz profil	23.12.2008, 23:04:26 Post #3
Grupa: Zarejestrowani Postów: 1 657 Pomógł: 125 Dołączył: 29.04.2006 Ostrzeżenie: (0%)	Cytat(erix @ 23.12.2008, 21:52:30 ) Pora zacząć. (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) No właśnie (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) Porównaj sobie to: [PHP] pobierz, plaintext <? include('mysql.php'); $cfg['mysql']['alias']='log_'; $cfg['salt'] = '_babia_stefa_lubi_ogorki_xD'; function new_otoken($nick) { global $_SESSION; global $cfg; $ot = otoken($nick); mysql_query('UPDATE '.$cfg['mysql']['alias'].'users SET u_otoken="'.$ot.'" WHERE u_nick="'.$nick.'"'); $_SESSION['otoken']=$ot; } function otoken($nick) { return sha1(time().$nick); } ?> [PHP] pobierz, plaintext z tym: [PHP] pobierz, plaintext <?php include 'mysql.php'; $cfg['mysql']['alias'] = 'log_'; $cfg['salt'] = '_babia_stefa_lubi_ogorki_xD'; function new_otoken($nick) { global $_SESSION; global $cfg; $ot = otoken($nick); mysql_query('UPDATE ' . $cfg['mysql']['alias'] . 'users SET u_otoken="' . $ot . '" WHERE u_nick="' . $nick . '"'); $_SESSION['otoken'] = $ot; } function otoken($nick) { return sha1(time() . $nick); } ?> [PHP] pobierz, plaintext Nie wiem jak Ty, ale mi się wydaje, że moja wersja jest dużo bardziej czytelna. Ot, bardzo dobry nawyk. Natomiast mam dwie bardzo ważne uwagi: 1. Zaprzestań stosować globali (po konkrety do wyszukiwarki (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) ) 2. Rozpocznij stosować mysql_real_escape_string globale są złe, a "escapować" ciągi znaków należy przed wysłaniem do bazy danych (dla zabezpieczenia przed sql injection), czyli jeszcze raz: [PHP] pobierz, plaintext <?php include 'mysql.php'; $cfg['mysql']['alias'] = 'log_'; $cfg['salt'] = '_babia_stefa_lubi_ogorki_xD'; function new_otoken($nick) { global $cfg; // to należy wywalić... $nick = mysql_real_escape_string($nick); $ot = otoken($nick); mysql_query('UPDATE ' . $cfg['mysql']['alias'] . 'users SET u_otoken="' . $ot . '" WHERE u_nick="' . $nick . '"'); $_SESSION['otoken'] = $ot; } function otoken($nick) { return sha1(time() . $nick); } ?> [PHP] pobierz, plaintext PS. Stosuj komentarze w swoim kodzie, bo jak będziesz musiał edytować kod, którego nie ruszałeś od kilku miesięcy to nie będziesz wiedział "o co tu chodzi?" (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

Posty w temacie

kiamil [skrypt] bezpieczne logowanie 23.12.2008, 19:14:23

Babcia@Stefa Rejestracja i logowanie zwykłe jak wida... 23.12.2008, 20:10:55

kiamil Odstępów nigdy nie robiłem, nie jestem tak zaawans... 23.12.2008, 20:17:02

Babcia@Stefa Cytat(kiamil @ 23.12.2008, 20:17:02 )... 23.12.2008, 22:44:17

SzamanGN Dla mnie ciekawe rozwiązanie 23.12.2008, 20:17:29

kiamil Coś więcej? Porady dot. bezpieczeństwa? Jeszcze zr... 23.12.2008, 20:18:36

pyro BF? 23.12.2008, 20:54:00

.radex Cytat(pyro @ 23.12.2008, 20:54:00 ) B... 23.12.2008, 21:23:11

pyro a sorry 23.12.2008, 21:24:26

erix CytatOdstępów nigdy nie robiłem Pora zacząć. Kod... 23.12.2008, 21:52:30

.radex Cytat(erix @ 23.12.2008, 21:52:30 ) P... 23.12.2008, 23:04:26

Kildyt Skupię się na kodzie. Jak już napisał @.radex: ta... 25.12.2008, 20:26:05

l0ud Cytatprzyjęło się, że zapytania do bazy danych pod... 25.12.2008, 20:56:52

Kildyt Cytat(l0ud @ 25.12.2008, 22:56:52 ) .... 25.12.2008, 21:04:03

Crozin [PHP] pobierz, plaintext <?phpabdef('UPDATE... 25.12.2008, 22:17:24

bim2 Jak już to [PHP] pobierz, plaintext <?phpecho ... 25.12.2008, 23:21:36

Crozin @bim2: jak już to obiekt, nie klasa Można by się... 26.12.2008, 01:23:49

lukaszkkk Dodam tylko, ze zgodnie z podrecznikiem php, jesli... 31.12.2008, 17:55:54

« Następny starszy · Oceny · Następny nowszy »

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Forum PHP.pl