Bezpieczeństwo tego skryptu

Bezpieczeństwo tego skryptu

julek12 Zobacz profil	19.08.2009, 11:35:45 Post #1
Grupa: Zarejestrowani Postów: 97 Pomógł: 5 Dołączył: 6.02.2009 Skąd: Gorzów Wlkp. Ostrzeżenie: (0%)	Witam, Mam pytanie czy skrypt jest w miarę bezpieczny? To moja pierwsza przygoda z sessions więc się pytam oto skrypt: [PHP] pobierz, plaintext <?php header('Content-Type: text/html; charset="utf-8"'); session_start(); ?> <<?php ?>?xml version="1.0" encoding="utf-8"?<?php ?>> <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.1//EN" "http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd"> <html xmlns="http://www.w3.org/1999/xhtml" xml:lang="pl"> <head> <meta http-equiv="Content-Language" content="pl" /> <meta http-equiv="Content-Type" content="text/html; charset=utf-8"/> <meta http-equiv="Reply-To" content="julek12@tibiaserv.pl" /> <title>TibiaServ.PL - Sonda</title> <meta name="verify-v1" content="OzJlYgcY2J+e78CLZ67a5VBn3nupIh+B0BCyp5crrSg=" /> <meta name="keywords" content="tibia, ots, open tibia server, otserv, lua, xml, server, otfans, iots, acc maker, skrypty, php, silniki, mapy, klienty, cheaty, tutoriale, otmapeditor, lista serwerow, forum" /> <meta name="description" content="Polski Support Open Tibia Serwer (OTS). Forum, download, skrypty, tutoriale, lista OTS, otserv, iots, otfans, otsy, silniki, mapy" /> <meta name="Robots" content="all, index, follow" /> <meta name="Author" content="Juliusz Marciniak" /> </head> <body> <form method='post' action='login.php'> <b>Nazwa użytkownika:</b> <input type='text' name='nick'><br /> <b>Hasło:</b> <input type='password' name='password'><br /> <input type='submit' value='Wyślij' name='submit'> </form> <?php try { $nick = trim(strip_tags($_POST['nick'])); $password = md5(md5(trim(strip_tags($_POST['password'])))); if(isset($_SESSION['login'])) { echo "Witaj, ".$_SESSION['nick']; } else { if (isset($_POST['submit'])) { $pdo = new PDO('mysql:host=localhost;dbname=xxx', 'xxx', 'xxx', array(PDO::MYSQL_ATTR_INIT_COMMAND => 'SET NAMES utf8')); $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); $sql = $pdo->prepare('SELECT `nick`, `password` FROM `admins` WHERE `nick` = :nick AND `password` = :password'); $sql->bindValue(':nick', $nick, PDO::PARAM_STR); $sql->bindValue(':password', $password, PDO::PARAM_STR); $sql->execute(); $dane = $sql->fetch(); if ($dane) { session_regenerate_id(); $_SESSION['login'] = true; $_SESSION['nick'] = $nick; $_SESSION['ip'] = $_SERVER['REMOTE_ADDR']; if($_SESSION['ip'] != $_SERVER['REMOTE_ADDR']) { die('Proba przejecia sesji udaremniona!'); } echo 'Zostałeś zalogowany.'; } else { echo "Złe hasło lub login, proszę spróbować ponownie"; } } } } catch(Exception $e) { echo $e->getMessage(); } ?> </body> </html> [PHP] pobierz, plaintext

Odpowiedzi

julek12 Zobacz profil	19.08.2009, 12:32:41 Post #2
Grupa: Zarejestrowani Postów: 97 Pomógł: 5 Dołączył: 6.02.2009 Skąd: Gorzów Wlkp. Ostrzeżenie: (0%)	Nie wiem czy działa bo mi coś się z serwerem stało, ale wyszło mi tak: [PHP] pobierz, plaintext <?php header('Content-Type: text/html; charset="utf-8"'); session_start(); ?> <<?php ?>?xml version="1.0" encoding="utf-8"?<?php ?>> <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.1//EN" "http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd"> <html xmlns="http://www.w3.org/1999/xhtml" xml:lang="pl"> <head> <meta http-equiv="Content-Language" content="pl" /> <meta http-equiv="Content-Type" content="text/html; charset=utf-8"/> <meta http-equiv="Reply-To" content="julek12@tibiaserv.pl" /> <title>TibiaServ.PL - Sonda</title> <meta name="verify-v1" content="OzJlYgcY2J+e78CLZ67a5VBn3nupIh+B0BCyp5crrSg=" /> <meta name="keywords" content="tibia, ots, open tibia server, otserv, lua, xml, server, otfans, iots, acc maker, skrypty, php, silniki, mapy, klienty, cheaty, tutoriale, otmapeditor, lista serwerow, forum" /> <meta name="description" content="Polski Support Open Tibia Serwer (OTS). Forum, download, skrypty, tutoriale, lista OTS, otserv, iots, otfans, otsy, silniki, mapy" /> <meta name="Robots" content="all, index, follow" /> <meta name="Author" content="Juliusz Marciniak" /> </head> <body> <form method='post' action='login.php'> <b>Nazwa użytkownika:</b> <input type='text' name='nick'><br /> <b>Hasło:</b> <input type='password' name='password'><br /> <input type='submit' value='Wyślij' name='submit'> </form> <?php try { $nick = trim(strip_tags($_POST['nick'])); $password = sha1($_POST['password'].'Ds.dAjsD3jnM32dkja343n'); if(isset($_SESSION['login'])) { echo "Witaj, ".$_SESSION['nick']; } else { if (isset($_POST['submit'])) { $pdo = new PDO('mysql:host=localhost;dbname=xxxx', 'xxxx', 'xxxxxxx', array(PDO::MYSQL_ATTR_INIT_COMMAND => 'SET NAMES utf8')); $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); $sql = $pdo->prepare('SELECT `nick`, `password` FROM `admins` WHERE `nick` = :nick AND `password` = :password'); $sql->bindValue(':nick', $nick, PDO::PARAM_STR); $sql->bindValue(':password', $password, PDO::PARAM_STR); $sql->execute(); if ($sql->rowCount() == 1) { $_SESSION['login'] = true; $_SESSION['nick'] = $nick; echo 'Zostałeś zalogowany.'; } else { echo "Złe hasło lub login, proszę spróbować ponownie"; } } } } catch(PDOException $e) { echo 'Połączenie nie mogło zostać utworzone: '.$e->getMessage(); } ?> </body> </html> [PHP] pobierz, plaintext Ten post edytował julek12 19.08.2009, 12:35:18

Posty w temacie

julek12 Bezpieczeństwo tego skryptu 19.08.2009, 11:35:45

erix A czy Waść czytał przyklejone wątki? Audyt, to nor... 19.08.2009, 11:36:31

julek12 Czytałem ale o sesjach nie znalazłem mógłbyś pokaz... 19.08.2009, 11:40:51

fifi209 [PHP] pobierz, plaintext $dane = $sql->fetch... 19.08.2009, 11:54:37

julek12 to wziąłem stąd http://forum.php.pl/index.php?show... 19.08.2009, 11:57:41

fifi209 Nie, bo PDO wyrzuci Ci wyjątek kiedyś, że nie może... 19.08.2009, 12:02:22

nospor Cytatto wziąłem stądPrzeciez wziales tylko czesc s... 19.08.2009, 12:03:58

julek12 a co zrobić żeby zabezpieczał? 19.08.2009, 12:05:04

fifi209 Cytat(julek12 @ 19.08.2009, 12:05:04 ... 19.08.2009, 12:06:43

nospor musisz poprawnie skopiowac tamten kod, z ktorego w... 19.08.2009, 12:06:13

julek12 Ok a to gdzie wstawić? session_regenerate_id(); 19.08.2009, 12:10:11

fifi209 Cytat(julek12 @ 19.08.2009, 12:10:11 ... 19.08.2009, 12:15:27

julek12 ok rozumiem Cię, a reszta kodu jest już ok? 19.08.2009, 12:17:03

fifi209 Jest prawie ok... Wyjątki musisz łapać od PDOExcep... 19.08.2009, 12:24:38

julek12 Nie wiem czy działa bo mi coś się z serwerem stało... 19.08.2009, 12:32:41

fifi209 Powinno działać tylko czy przy rejestracji też mas... 19.08.2009, 12:36:18

julek12 To jest logowanie tylko do konta admina:) rejestra... 19.08.2009, 12:39:18

nospor CytatI tak offtop jak zrobić procenty czyli mam il... 19.08.2009, 12:41:07

fifi209 Zawsze wyliczasz z proporcji: Wszystko - 100% Coś... 19.08.2009, 12:41:38

julek12 Aha dzięki:P Kiedyś miałem to na matmie ale nie pa... 19.08.2009, 12:42:33

« Następny starszy · Przedszkole · Następny nowszy »

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Forum PHP.pl