[skrypt] Logowanie - Forum PHP.pl

[skrypt] Logowanie

sebekzosw Zobacz profil	19.08.2009, 23:07:12 Post #1
Grupa: Zarejestrowani Postów: 437 Pomógł: 42 Dołączył: 16.04.2007 Ostrzeżenie: (0%)	Witam! Mam taki skrypt logowania opartego o sesje - moje pytanie brzmi: Czy taki skrypt jest bezpieczny?: [PHP] pobierz, plaintext <?php function DodawanieDoBazy($ciag) { $wynik = stripslashes(strip_tags(addslashes(trim($ciag)))); $wynik = str_replace(array("\"", "'", "\\", '\"', "\'", "<", ">", " "), array(""", "'", "\", """, "'", "<", ">", " "), $wynik); $wynik = preg_replace(array("/\=/","/\#/","/\sOR\s/"), "", $wynik); return $wynik; } if(isset($_POST["logowanie"]) && isset($_POST['login']) && isset($_POST['login'])) { $logon_failure = ''; if(empty($_POST["login"])) { $logon_failure .= "Wpisz login<br />"; } if(empty($_POST["password"])) { $logon_failure .= "Wpisz hasło<br />"; } $login = DodawanieDoBazy($_POST["login"]); $password = md5($_POST["password"]); if(empty($logon_failure)) { if(!mysql_fetch_row(mysql_query("SELECT * FROM users WHERE login='".$login."' AND pass='".$password."'"))) { $logon_failure .= "Nieprawidłowy login lub hasło"; } elseif(!mysql_fetch_row(mysql_query("SELECT * FROM users WHERE login='".$login."' AND activity='1'"))) { $logon_failure .= "Konto jest nieaktywne"; } if(empty($logon_failure)) { $_SESSION["login"] = $login; $_SESSION['ip'] = $_SERVER['REMOTE_ADDR']; $_SESSION['browser'] = $_SERVER['HTTP_USER_AGENT']; } else { echo $logon_failure; } } else { echo $logon_failure; } } echo "<div id=\"menu\">"; if(UZYTKOWNIK) { echo "Zalogowany jako ".$_SESSION["login"]; } else { ?> <form action="" method="post" id="logowanie"> <fieldset> <dl> <dt>Login</dt> <dd><input type="text" name="login" id="login" value="Login" onblur="if(this.value=='') this.value='Login';" onfocus="if(this.value=='Login') this.value='';" /></dd> <dt>Hasło:</dt> <dd><input type="password" name="password" id="password" value="Hasło" onblur="if(this.value=='') this.value='Hasło';" onfocus="if(this.value=='Hasło') this.value='';" /></dd> </dl> </fieldset> <div style="float:right;"><input type="submit" name="logowanie" value="Zaloguj się" onclick="WyslijFormularz('logowanie'); return false;" /></div> </form> <img src="http://test.php.pl/www/gfx/login_loading.gif" id="ladowanie" alt="" style="display:none;float:left;" /> <div id="wynik"></div> <p><a href="/rejestracja/">Rejestracja</a> <br /> <a href="/przypomnij/">Przypomnij hasło</a> <? } ?> </div> [PHP] pobierz, plaintext Wszystkie sugestie na temat polepszenia mile widziane (IMG:style_emoticons/default/smile.gif) Ten post edytował erix 19.08.2009, 23:10:18 Powód edycji: [erix] przeniosłem

Odpowiedzi

Quantum Zobacz profil	20.08.2009, 06:00:49 Post #2
Grupa: Zarejestrowani Postów: 450 Pomógł: 84 Dołączył: 27.11.2008 Skąd: Warszawa Ostrzeżenie: (0%)	Cytat(sebekzosw) [PHP] pobierz, plaintext ie"]) && isset($_POST['login']) && isset($_POST['login']) [PHP] pobierz, plaintext w jakim celu sprawdzasz 2 razy ? (IMG:style_emoticons/default/biggrin.gif) dodatkowo dziwna nazwa funkcji, DodawanieDoBazy, lepiej byłoby FiltrujZapytanie, choć i tak jestem zwolennikiem nazewnictwa ang. używaj http://www.php.net/mysql_real_escape_string. Dlaczego raz używasz ' a raz " ? zastąp cudzysłów apostrofem, zwiększa to szybkość działania skryptu. Co do bezpieczeństwa.. MD5 ? ta funkcja skrótu teoretycznie w nowych aplikacjach pojawiać się nie powinna, zastąp ją SHA-1. Od siebie dodam, że lepiej napisałbyś to obiektowo, proceduralne - gorzej się czyta, po 2 tygodniach przerwy nie będziesz wiedział jak on nawet działał, OOP daje większe możliwości, na ten przykład PDO - nie musiałbyś martwić się o bezpieczeństwo, zapytania są tam filtrowane. Dodatkowo rozbudowa takich skryptów jest o wiele szybsza i prostsza. [PHP] pobierz, plaintext if(!mysql_fetch_row(mysql_query("SELECT * FROM users WHERE login='".$login."' AND pass='".$password."'"))) { [PHP] pobierz, plaintext zastąp tym, będzie wydajniej [SQL] pobierz, plaintext SELECT count() FROM users WHERE login='".$login."' AND pass='".$password."' [SQL] pobierz, plaintext Ten post edytował sniffer32* 20.08.2009, 06:14:23

Posty w temacie

sebekzosw [skrypt] Logowanie 19.08.2009, 23:07:12

sniffer32 Cytat(sebekzosw)[PHP] pobierz, plaintext ie"]... 20.08.2009, 06:00:49

sebekzosw Poprawiłem już to co mówiłem, tylko nie wiem gdzie... 20.08.2009, 08:30:28

vonEverest Cytat(sebekzosw @ 20.08.2009, 09:30:2... 23.08.2009, 15:19:17

sniffer32 1. wystarczy zajrzeć do manuala, przykład 3, widać... 21.08.2009, 13:26:57

sebekzosw Trochę poprawiłem całe logowanie dodając nową opcj... 24.08.2009, 14:48:32

vonEverest Może najpierw powiedz, jaką opcję dodałeś? ^^ 26.08.2009, 21:29:19

sebekzosw Deaktywacja konta po 3 błędnych próbach logowania 27.08.2009, 13:24:20

fifi209 [PHP] pobierz, plaintext $wynik = stripslashes... 27.08.2009, 13:40:19

l0ud Cześć Cała funkcja DodawanieDoBazy() jest zupełni... 27.08.2009, 13:48:02

fifi209 Cytat(l0ud @ 27.08.2009, 13:48:02 ) C... 27.08.2009, 13:50:19

l0ud CytatPo prostu to sobie daruj takie posty. Napisa... 27.08.2009, 14:06:29

fifi209 Cytat(l0ud @ 27.08.2009, 14:06:29 ) M... 27.08.2009, 14:09:12

l0ud Tak, o 7 minut. Co do htmlspecialchars, robiła to ... 27.08.2009, 14:23:49

fifi209 Dyskusja jest też na temat. Napisałeś, przy wyrz... 27.08.2009, 14:52:49

l0ud Daje możliwość bezproblemowej edycji i wyświetleni... 27.08.2009, 16:05:07

klocu A tak właściwie to czy jest sens bombardować bazę ... 28.08.2009, 09:18:11

phpion Cytat(klocu @ 28.08.2009, 10:18:11 ) ... 28.08.2009, 09:24:55

sebekzosw Demo (Login: demo , Hasło: demo) - sprawdźcie bezp... 29.08.2009, 12:46:37

« Następny starszy · Oceny · Następny nowszy »

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych: