[PHP]MySQL]Skrypt logowania, Proszę o wyrażenie swojego zdania na ten temat . Opcje

[kamillo121]

Witam , napisałem sobie skrypt logowania i nie wiem czemu ale wydaje mi się, że jest strasznie cienko zabezpieczony , tzn jest to mój drugi skrypt (po próbach ) i nie spodziewam się skryptu nie do obejścia ale takiego chociaż dość dobrego , możecie zerknąć na to i dać swoją opinie ? (tylko bądźcie wyrozumiali dla mnie, proszę (IMG:style_emoticons/default/smile.gif) (wiem, że jest do tego dział ale ja bym w razie czego chciał jakąś pomoc co do tego skryptu, tzn jakieś inne sposoby czy coś ) )

[PHP] pobierz, plaintext 
 
<?php
if(!isset($_REQUEST['action'])){
header('Location: index.php?page=news');
}else{
switch($_REQUEST['action']){
   case 'Zaloguj':
     if(!isset($_POST['login']) OR !isset($_POST['haslo']) OR strlen($_POST['login'])<1 OR strlen($_POST['haslo'])<1){
	 header('Location: index.php?page=news');
	 }else{
	  if(preg_match('/^[a-zA-Z0-9\_\-]{3,20}$/D', $_POST['login']) AND preg_match('/^[a-zA-Z0-9]{4,20}$/D', $_POST['haslo'])){
	  include 'conn.php';
	  $login=stripslashes($_POST['login']);
	  $haslo=stripslashes($_POST['haslo']); 
/// Tutaj dodałem według wskazówek szanownych forumowiczów przepuszczanie przez sha1  hasła :) 
	  $sql="SELECT * FROM user WHERE login='".$login."' AND haslo='".$haslo."' LIMIT 1 ";
	   $result=mysql_query($sql)
	      or die(mysql_error());
		   unset($sql);
	      if($row=mysql_fetch_array($result)){
	 session_start();
	 $_SESSION['login']=$row['login'];
	 $_SESSION['lvl_acc']=$row['lvl_acc'];
	 	$sql="UPDATE user  SET ostatnia_wiz='".date("Y-m-d H:i:s", time())."' " .
										"WHERE id=".$row['id']." ";
										mysql_query($sql)
										  or die(mysql_error());
										  echo '<div id="kom"><div id="tab">Komunikat</div>';
										  echo 'zalogowano<br><br>';
										  echo '<a href="index.php?page=news">Powrót na stronę głowną </a>';
	                                      echo '</div>';
	 }else{
	  echo '<div id="kom"><div id="tab">Komunikat</div>';
	  echo 'Złe hasło bądź login<br> ';
	  echo '<a href="index.php?page=news">Powrót na stronę głowną </a>';
	  echo '</div>';
	  }
	  }else{
	  echo '<div id="kom"><div id="tab">Komunikat</div>';
	  echo 'Złe dane<br> ';
	  echo '<a href="index.php?page=news">Powrót na stronę głowną </a>';
	  echo '</div>';
	  }
	 }
	break;
	case 'Wyloguj':
	session_start();
	session_unset();
	session_destroy();
	echo '<div id="kom"><div id="tab">Komunikat</div>';
	echo 'Wylogowano<br>';
	echo '<a href="index.php?page=news">Powrót na stronę głowną </a>';
	echo '</div>';
	break;
       default:
        header('Location: index.php?page=news');
        break;
 
}
//koniec switch'a
}
?>
[PHP] pobierz, plaintext 

(To jest sam skrypt który otrzymuje dane z formularza, przetwarza i loguje )

Ten post edytował kamillo121 24.08.2009, 15:30:14

[thek]

Sól, salt czy jakkolwiek to nazwać a o czym w poprzednim poście pisałem jest stałym dodatkiem do niejawnej wersji hasła czy co tam byś chciał kodować.
Są to ciągi znaków, które się dokleja do danej usera czy to na początek, koniec lub z obu stron i dopiero przeprowadza hashowanie. W ten sposób nawet słabe hasła można uczynić mocnymi. Sprawia to także, że znając czyjeś hasło i znając funkcje jakiej użyto nie wygenerujesz tego samego hasha. A znając hash i nawet gdybyś go rozgryzł do postaci jawnej, to nie wiesz która część w ciągu znaków jest prawidłowym hasłem usera. Tyle że sha-1, md5 i wiele innych jest algorytmami szyfrującymi jednostronnymi. A więc możesz zaszyfrować, ale nie ma funkcji deszyfrującej do nich. Ważne by sól była stała, bo inaczej hashe nie będą się zgadzały. Dlatego daje się do nich kombinacje liter małych i dużych, znaków by utrudnić "złamanie" hashy przez "tęczowe tabliczki"

Ze zmiennymi sesji... mae culpa... nie interesowałem się nigdy zbytnio czy są po stronie serwera czy klienta. I tak zazwyczaj mialem wszystkie krytyczne dane w hashach (IMG:style_emoticons/default/biggrin.gif)

Co do sprawdzania to aż tak rygorystycznie nie trzeba, ale co jakiś czas można (IMG:style_emoticons/default/tongue.gif)

Gdy zaś wspominałem o przechowywaniu w sesji loginu i hasła miałem na myśli sytuację, gdy akurat login nie musi być polem jednoznacznie identyfikującym. Tak naprawdę unikatowa jest kombinacja loginu i hasła i dopiero taki warunek trzeba sprawdzać pod kątem kolizyjności w bazie. Może być wielu userów o tym samym loginie ale różnych hasłach. Jedynie z wygody ustawia się na to pole wartość unique by sobie mniej roboty robić i nie wprowadzać zamieszania dla pozostałych użytkowników :] Czyli dla wygody nas, adminów, tak naprawdę, a nie dlatego, że tak musi być (IMG:style_emoticons/default/smile.gif) Oszczędza nam to dodatkowego sprawdzenia hasła i tyle (IMG:style_emoticons/default/winksmiley.jpg) Zmiana loginu, nawet na już istniejący, po założeniu konta w takim wypadku to pikuś i użytkownik sam to może zrobić, jedynie trzeba sprawdzać unikatowość kombinacji w formularzu zmiany loginu.