Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [PHP]Logowanie na sesjach i mysql :P, Czyli mój pierwszy własny skrypt
marian2299
post
Post #1





Grupa: Zarejestrowani
Postów: 272
Pomógł: 9
Dołączył: 6.06.2009

Ostrzeżenie: (0%)
-----

Napisałem własne skrypty, działają i wgl, ale muszą zostać zabezpieczone. W związku z tym piszcie, czy napisałem w miarę ok, czy są rażące widoczne błędy, itp.
Plik logowanie.php
[PHP] pobierz, plaintext 
  1. <?php 
  2. sesion_start(); //rozpoczęcie sesji
  3.  
  4. $login = mysql_real_escape_string($_POST['login']);  //określenie zmiennej login, dodanie backshalsy
  5. $haslo = mysql_real_escape_string(md5($_POST['haslo'])); //określenie zmiennej haslo, dodanie backshalsy,kodowanie md5
  6.  
  7. if ($login != "" && $haslo != ""){ //sprawdzanie czy zmienne nie są puste
  8.  
  9. $zapytanie = "SELECT * FROM `uzytkownicy` WHERE login="'. $login.'" and haslo="'.$haslo.'" "; //zapytanie
  10. $uzytkownik = mysql_fetch_array(mysql_query($zapytanie) or die("Wystąpił nieoczekiwany błąd.")); //tworzymy tablicę
  11.  
  12. $_SESSION['login'] = $uzytkownik['login']; //określamy zmienną sesyjną login
  13. $_SESSION['haslo'] = $uzytkownik['haslo']; //określamy zmienną sesyjną haslo
  14. $_SESSION['id'] = $uzytkownik['id']; //określamy zmienną sesyjną id
  15. echo "Zostałeś zalogowany jako: ".$_SESSION['login'].""; //jeśli wszystko ok, wyświetlamy login
  16. }
  17. else {
  18. echo  'Podałeś błędne dane, spróbuj ponownie.';  //jeśli nie baj baj
  19. }
  20.  
  21. ?>
[PHP] pobierz, plaintext


Czy wszystko robię ok ? Czy jest to odporne na SQJ injection ? Macie może jakieś sugestie ?
Czy w pliku tylko dla zalogowanych w zupełności wystarczy:
[PHP] pobierz, plaintext 
  1. <?php
  2. session_start();
  3.   if (!isset($_SESSION['login']) || !isset($_SESSION['haslo'])) {
  4.   header("location:index.php"); // Przekierowanie do index.php
  5. }
  6. ?>
[PHP] pobierz, plaintext


Ten post edytował marian2299 17.08.2009, 00:34:12
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
marian2299
post
Post #2





Grupa: Zarejestrowani
Postów: 272
Pomógł: 9
Dołączył: 6.06.2009

Ostrzeżenie: (0%)
-----

Czyli zostawić id i login? Będzie działać wszystko?
Go to the top of the page
+Quote Post
Fifi209
post
Post #3





Grupa: Zarejestrowani
Postów: 4 655
Pomógł: 556
Dołączył: 17.03.2009
Skąd: Katowice

Ostrzeżenie: (0%)
-----

Cytat(marian2299 @ 17.08.2009, 01:07:08 ) *
Czyli zostawić id i login? Będzie działać wszystko?


Właściwie jeżeli nie będziesz wykorzystywał tych informacji to możesz zrobić po prostu:

[PHP] pobierz, plaintext 
  1. $_SESSION['login'] = true;
[PHP] pobierz, plaintext


I potem na podstronach sprawdzać:
[PHP] pobierz, plaintext 
  1. if ($_SESSION['login'] === true) {
  2. // zalogowany
  3. }else{
  4. // niezalogowany
  5. }
[PHP] pobierz, plaintext


Działać, będzie nawet w pierwotnej wersji, lecz pisałeś chyba z myślą o przebudowie...
Jak wspomniałem, wyrażenia regularne i możesz odpuścić wtedy mysql_real_escape_string (na haśle możesz od razu usunąć bo i tak hashujesz)
Go to the top of the page
+Quote Post

Posty w temacie
- marian2299   [PHP]Logowanie na sesjach i mysql :P   17.08.2009, 00:23:22
- - fifi209   Najpierw sprawdź czy zmienne są w post a potem dop...   17.08.2009, 00:32:51
- - marian2299   A czy `przelecenie mysql_real_escape_string...   17.08.2009, 00:38:09
- - fifi209   Spróbuj użyć funkcji na czymś co nie istnieje... ...   17.08.2009, 00:45:44
- - marian2299   Czyli zostawić id i login? Będzie działać wszystko...   17.08.2009, 01:07:08
|- - fifi209   Cytat(marian2299 @ 17.08.2009, 01:07...   17.08.2009, 01:15:05
- - radabus   Podpinając się pod ten temat (gdyż trochę się nim ...   19.08.2009, 19:27:44
- - erix   Co źle? A sam sprawdzić nie możesz? Audyt? Giełda ...   19.08.2009, 19:29:19
- - radabus   Sprawdzam i działa. Chodzi mi tylko o podpowiedź o...   19.08.2009, 20:12:58
- - Suh   Mam takie uwagi do obu Panów @radabus: Te if...   19.08.2009, 20:59:31
- - radabus   Cytat(Suh @ 19.08.2009, 21:59:31 ) Po...   19.08.2009, 22:40:26
- - kamillo121   Witam, nie będę zaczynał nowego tematu bo pytanie ...   19.08.2009, 22:56:07
- - erix   Przeczytaj przyklejony wątek o bezpieczeństwie, do...   19.08.2009, 23:09:51
|- - kamillo121   Cytat(erix @ 20.08.2009, 00:09:51 ) P...   19.08.2009, 23:25:17
- - Suh   Lepiej zrobić o jedno zabezpieczenie więcej, niż m...   20.08.2009, 11:00:46

« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 14.10.2025 - 22:17
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn