[PHP]Logowanie na sesjach i mysql :P, Czyli mój pierwszy własny skrypt Opcje

[marian2299]

Napisałem własne skrypty, działają i wgl, ale muszą zostać zabezpieczone. W związku z tym piszcie, czy napisałem w miarę ok, czy są rażące widoczne błędy, itp.
Plik logowanie.php

[PHP] pobierz, plaintext 
<?php 
sesion_start(); //rozpoczęcie sesji
 
$login = mysql_real_escape_string($_POST['login']);  //określenie zmiennej login, dodanie backshalsy
$haslo = mysql_real_escape_string(md5($_POST['haslo'])); //określenie zmiennej haslo, dodanie backshalsy,kodowanie md5
 
if ($login != "" && $haslo != ""){ //sprawdzanie czy zmienne nie są puste
 
$zapytanie = "SELECT * FROM `uzytkownicy` WHERE login="'. $login.'" and haslo="'.$haslo.'" "; //zapytanie
$uzytkownik = mysql_fetch_array(mysql_query($zapytanie) or die("Wystąpił nieoczekiwany błąd.")); //tworzymy tablicę
 
$_SESSION['login'] = $uzytkownik['login']; //określamy zmienną sesyjną login
$_SESSION['haslo'] = $uzytkownik['haslo']; //określamy zmienną sesyjną haslo
$_SESSION['id'] = $uzytkownik['id']; //określamy zmienną sesyjną id
echo "Zostałeś zalogowany jako: ".$_SESSION['login'].""; //jeśli wszystko ok, wyświetlamy login
}
else {
echo  'Podałeś błędne dane, spróbuj ponownie.';  //jeśli nie baj baj
}
 
?>
[PHP] pobierz, plaintext 

Czy wszystko robię ok ? Czy jest to odporne na SQJ injection ? Macie może jakieś sugestie ?
Czy w pliku tylko dla zalogowanych w zupełności wystarczy:

[PHP] pobierz, plaintext 
<?php
session_start();
  if (!isset($_SESSION['login']) || !isset($_SESSION['haslo'])) {
  header("location:index.php"); // Przekierowanie do index.php
}
?>
[PHP] pobierz, plaintext 

Ten post edytował marian2299 17.08.2009, 00:34:12

[radabus]

Ponadto - i to się tyczy do Was obu - walidacja danych (IMG:style_emoticons/default/exclamation.gif) WAŻNE jest założenie, że KAŻDE dane pochodzące z zewnątrz, a szczególnie GET, POST - są niebezpieczne ! Dlatego też (tak jak wcześniej proponował fifi209) - bez wyrażeń regularnych się nie obejdzie.

@Suh: czyli samo

[PHP] pobierz, plaintext 
mysql_real_escape_string($username)
[PHP] pobierz, plaintext 

nie wystarczy? Najpierw trzeba wyrażeniami regularnymi sprawdzić, czy string przypadkiem nie zawiera niedozwolonych znaków i dopiero wtedy puścić go do MySQLa? Dobrze rozumiem? Bo jeśli mysql_real_escape_string nie wystarcza, to albo ja coś źle rozumiem, albo manual wprowadza w błąd (IMG:style_emoticons/default/winksmiley.jpg) Jest tam przecież napisane, że...

tak przygotowanego łańcucha można bezpiecznie użyc w funkcji mysql_query()

Samo napisanie sprawdzenia wyrażenia regularnego dla prostego ciągu znaków jak nazwa użytkownika nie powinno być trudne (chociaż jeszcze w pełni tego nie opanowałem), ale w takim razie po co używać mysql_real_escape_string? Takie dublowanie roboty wtedy jest (IMG:style_emoticons/default/winksmiley.jpg)

Ten post edytował radabus 19.08.2009, 22:42:23