[skrypt] Logowanie - Forum PHP.pl

[skrypt] Logowanie

sebekzosw Zobacz profil	19.08.2009, 23:07:12 Post #1
Grupa: Zarejestrowani Postów: 437 Pomógł: 42 Dołączył: 16.04.2007 Ostrzeżenie: (0%)	Witam! Mam taki skrypt logowania opartego o sesje - moje pytanie brzmi: Czy taki skrypt jest bezpieczny?: [PHP] pobierz, plaintext <?php function DodawanieDoBazy($ciag) { $wynik = stripslashes(strip_tags(addslashes(trim($ciag)))); $wynik = str_replace(array("\"", "'", "\\", '\"', "\'", "<", ">", " "), array(""", "'", "\", """, "'", "<", ">", " "), $wynik); $wynik = preg_replace(array("/\=/","/\#/","/\sOR\s/"), "", $wynik); return $wynik; } if(isset($_POST["logowanie"]) && isset($_POST['login']) && isset($_POST['login'])) { $logon_failure = ''; if(empty($_POST["login"])) { $logon_failure .= "Wpisz login<br />"; } if(empty($_POST["password"])) { $logon_failure .= "Wpisz hasło<br />"; } $login = DodawanieDoBazy($_POST["login"]); $password = md5($_POST["password"]); if(empty($logon_failure)) { if(!mysql_fetch_row(mysql_query("SELECT * FROM users WHERE login='".$login."' AND pass='".$password."'"))) { $logon_failure .= "Nieprawidłowy login lub hasło"; } elseif(!mysql_fetch_row(mysql_query("SELECT * FROM users WHERE login='".$login."' AND activity='1'"))) { $logon_failure .= "Konto jest nieaktywne"; } if(empty($logon_failure)) { $_SESSION["login"] = $login; $_SESSION['ip'] = $_SERVER['REMOTE_ADDR']; $_SESSION['browser'] = $_SERVER['HTTP_USER_AGENT']; } else { echo $logon_failure; } } else { echo $logon_failure; } } echo "<div id=\"menu\">"; if(UZYTKOWNIK) { echo "Zalogowany jako ".$_SESSION["login"]; } else { ?> <form action="" method="post" id="logowanie"> <fieldset> <dl> <dt>Login</dt> <dd><input type="text" name="login" id="login" value="Login" onblur="if(this.value=='') this.value='Login';" onfocus="if(this.value=='Login') this.value='';" /></dd> <dt>Hasło:</dt> <dd><input type="password" name="password" id="password" value="Hasło" onblur="if(this.value=='') this.value='Hasło';" onfocus="if(this.value=='Hasło') this.value='';" /></dd> </dl> </fieldset> <div style="float:right;"><input type="submit" name="logowanie" value="Zaloguj się" onclick="WyslijFormularz('logowanie'); return false;" /></div> </form> <img src="http://test.php.pl/www/gfx/login_loading.gif" id="ladowanie" alt="" style="display:none;float:left;" /> <div id="wynik"></div> <p><a href="/rejestracja/">Rejestracja</a> <br /> <a href="/przypomnij/">Przypomnij hasło</a> <? } ?> </div> [PHP] pobierz, plaintext Wszystkie sugestie na temat polepszenia mile widziane (IMG:style_emoticons/default/smile.gif) Ten post edytował erix 19.08.2009, 23:10:18 Powód edycji: [erix] przeniosłem

Odpowiedzi

l0ud Zobacz profil	27.08.2009, 13:48:02 Post #2
Grupa: Zarejestrowani Postów: 1 387 Pomógł: 273 Dołączył: 18.02.2008 Ostrzeżenie: (0%)	Cześć Cała funkcja DodawanieDoBazy() jest zupełnie niepotrzebna, najlepszym i najprostszym zabezpieczeniem przed SQL injection oraz XSS jest przepuszczenie ciągu do dodania do bazy przez mysql_real_escape_string, a następnie - przy wyświetlaniu (a nie dodaniu do bazy) htmlspecialchars. W tym kodzie zamiast [PHP] pobierz, plaintext $login = DodawanieDoBazy($_POST["login"]); [PHP] pobierz, plaintext Użyj po prostu [PHP] pobierz, plaintext $login = mysql_real_escape_string($_POST["login"]); [PHP] pobierz, plaintext (Albo przepuszczaj login przez mysql_real_escape_string bezpośrednio w zapytaniu)

Fifi209 Zobacz profil	27.08.2009, 13:50:19 Post #3
Grupa: Zarejestrowani Postów: 4 655 Pomógł: 556 Dołączył: 17.03.2009 Skąd: Katowice Ostrzeżenie: (0%)	Cytat(l0ud @ 27.08.2009, 13:48:02 ) Cześć Cała funkcja DodawanieDoBazy() jest zupełnie niepotrzebna, najlepszym i najprostszym zabezpieczeniem przed SQL injection oraz XSS jest przepuszczenie ciągu do dodania do bazy przez mysql_real_escape_string, a następnie - przy wyświetlaniu (a nie dodaniu do bazy) htmlspecialchars. W tym kodzie zamiast [PHP] pobierz, plaintext $login = DodawanieDoBazy($_POST["login"]); [PHP] pobierz, plaintext Użyj po prostu [PHP] pobierz, plaintext $login = mysql_real_escape_string($_POST["login"]); [PHP] pobierz, plaintext (Albo przepuszczaj login przez mysql_real_escape_string bezpośrednio w zapytaniu) Po prostu to sobie daruj takie posty. Napisałeś to co ja...(tylko w innych słowach)

Posty w temacie

sebekzosw [skrypt] Logowanie 19.08.2009, 23:07:12

sniffer32 Cytat(sebekzosw)[PHP] pobierz, plaintext ie"]... 20.08.2009, 06:00:49

sebekzosw Poprawiłem już to co mówiłem, tylko nie wiem gdzie... 20.08.2009, 08:30:28

vonEverest Cytat(sebekzosw @ 20.08.2009, 09:30:2... 23.08.2009, 15:19:17

sniffer32 1. wystarczy zajrzeć do manuala, przykład 3, widać... 21.08.2009, 13:26:57

sebekzosw Trochę poprawiłem całe logowanie dodając nową opcj... 24.08.2009, 14:48:32

vonEverest Może najpierw powiedz, jaką opcję dodałeś? ^^ 26.08.2009, 21:29:19

sebekzosw Deaktywacja konta po 3 błędnych próbach logowania 27.08.2009, 13:24:20

fifi209 [PHP] pobierz, plaintext $wynik = stripslashes... 27.08.2009, 13:40:19

l0ud Cześć Cała funkcja DodawanieDoBazy() jest zupełni... 27.08.2009, 13:48:02

fifi209 Cytat(l0ud @ 27.08.2009, 13:48:02 ) C... 27.08.2009, 13:50:19

l0ud CytatPo prostu to sobie daruj takie posty. Napisa... 27.08.2009, 14:06:29

fifi209 Cytat(l0ud @ 27.08.2009, 14:06:29 ) M... 27.08.2009, 14:09:12

l0ud Tak, o 7 minut. Co do htmlspecialchars, robiła to ... 27.08.2009, 14:23:49

fifi209 Dyskusja jest też na temat. Napisałeś, przy wyrz... 27.08.2009, 14:52:49

l0ud Daje możliwość bezproblemowej edycji i wyświetleni... 27.08.2009, 16:05:07

klocu A tak właściwie to czy jest sens bombardować bazę ... 28.08.2009, 09:18:11

phpion Cytat(klocu @ 28.08.2009, 10:18:11 ) ... 28.08.2009, 09:24:55

sebekzosw Demo (Login: demo , Hasło: demo) - sprawdźcie bezp... 29.08.2009, 12:46:37

« Następny starszy · Oceny · Następny nowszy »

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych: