[PHP]Logowanie na sesjach i mysql :P

[PHP]Logowanie na sesjach i mysql :P, Czyli mój pierwszy własny skrypt

marian2299 Zobacz profil	17.08.2009, 00:23:22 Post #1
Grupa: Zarejestrowani Postów: 272 Pomógł: 9 Dołączył: 6.06.2009 Ostrzeżenie: (0%)	Napisałem własne skrypty, działają i wgl, ale muszą zostać zabezpieczone. W związku z tym piszcie, czy napisałem w miarę ok, czy są rażące widoczne błędy, itp. Plik logowanie.php [PHP] pobierz, plaintext <?php sesion_start(); //rozpoczęcie sesji $login = mysql_real_escape_string($_POST['login']); //określenie zmiennej login, dodanie backshalsy $haslo = mysql_real_escape_string(md5($_POST['haslo'])); //określenie zmiennej haslo, dodanie backshalsy,kodowanie md5 if ($login != "" && $haslo != ""){ //sprawdzanie czy zmienne nie są puste $zapytanie = "SELECT * FROM `uzytkownicy` WHERE login="'. $login.'" and haslo="'.$haslo.'" "; //zapytanie $uzytkownik = mysql_fetch_array(mysql_query($zapytanie) or die("Wystąpił nieoczekiwany błąd.")); //tworzymy tablicę $_SESSION['login'] = $uzytkownik['login']; //określamy zmienną sesyjną login $_SESSION['haslo'] = $uzytkownik['haslo']; //określamy zmienną sesyjną haslo $_SESSION['id'] = $uzytkownik['id']; //określamy zmienną sesyjną id echo "Zostałeś zalogowany jako: ".$_SESSION['login'].""; //jeśli wszystko ok, wyświetlamy login } else { echo 'Podałeś błędne dane, spróbuj ponownie.'; //jeśli nie baj baj } ?> [PHP] pobierz, plaintext Czy wszystko robię ok ? Czy jest to odporne na SQJ injection ? Macie może jakieś sugestie ? Czy w pliku tylko dla zalogowanych w zupełności wystarczy: [PHP] pobierz, plaintext <?php session_start(); if (!isset($_SESSION['login']) \|\| !isset($_SESSION['haslo'])) { header("location:index.php"); // Przekierowanie do index.php } ?> [PHP] pobierz, plaintext Ten post edytował marian2299 17.08.2009, 00:34:12

Odpowiedzi

Suh Zobacz profil	20.08.2009, 11:00:46 Post #2
Grupa: Zarejestrowani Postów: 112 Pomógł: 27 Dołączył: 24.08.2007 Skąd: Tarnów Ostrzeżenie: (0%)	Lepiej zrobić o jedno zabezpieczenie więcej, niż mniej.. Na pewno to nie zaszkodzi, a może co najwyżej poprawić sytuację. Poza tym mysql_real_escape_string() może Ci co najwyżej sprawdzić czy nie ma w podanym ciągu takich znaków jak np. ' " czy coś podobnego. A wyrażenia regularne mogą ponadto np. sprawdzać czy w loginie nie ma cyfr lub podkreśleń czy innych takich znaków, których sobie po prostu nie życzysz.

Posty w temacie

marian2299 [PHP]Logowanie na sesjach i mysql :P 17.08.2009, 00:23:22

fifi209 Najpierw sprawdź czy zmienne są w post a potem dop... 17.08.2009, 00:32:51

marian2299 A czy `przelecenie mysql_real_escape_string... 17.08.2009, 00:38:09

fifi209 Spróbuj użyć funkcji na czymś co nie istnieje... ... 17.08.2009, 00:45:44

marian2299 Czyli zostawić id i login? Będzie działać wszystko... 17.08.2009, 01:07:08

fifi209 Cytat(marian2299 @ 17.08.2009, 01:07... 17.08.2009, 01:15:05

radabus Podpinając się pod ten temat (gdyż trochę się nim ... 19.08.2009, 19:27:44

erix Co źle? A sam sprawdzić nie możesz? Audyt? Giełda ... 19.08.2009, 19:29:19

radabus Sprawdzam i działa. Chodzi mi tylko o podpowiedź o... 19.08.2009, 20:12:58

Suh Mam takie uwagi do obu Panów @radabus: Te if... 19.08.2009, 20:59:31

radabus Cytat(Suh @ 19.08.2009, 21:59:31 ) Po... 19.08.2009, 22:40:26

kamillo121 Witam, nie będę zaczynał nowego tematu bo pytanie ... 19.08.2009, 22:56:07

erix Przeczytaj przyklejony wątek o bezpieczeństwie, do... 19.08.2009, 23:09:51

kamillo121 Cytat(erix @ 20.08.2009, 00:09:51 ) P... 19.08.2009, 23:25:17

Suh Lepiej zrobić o jedno zabezpieczenie więcej, niż m... 20.08.2009, 11:00:46

« Następny starszy · Przedszkole · Następny nowszy »

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Aktualny czas: 18.10.2025 - 02:07

Hosting zapewnia

Forum PHP.pl