[skrypt] Logowanie - Forum PHP.pl

[skrypt] Logowanie

sebekzosw Zobacz profil	19.08.2009, 23:07:12 Post #1
Grupa: Zarejestrowani Postów: 437 Pomógł: 42 Dołączył: 16.04.2007 Ostrzeżenie: (0%)	Witam! Mam taki skrypt logowania opartego o sesje - moje pytanie brzmi: Czy taki skrypt jest bezpieczny?: [PHP] pobierz, plaintext <?php function DodawanieDoBazy($ciag) { $wynik = stripslashes(strip_tags(addslashes(trim($ciag)))); $wynik = str_replace(array("\"", "'", "\\", '\"', "\'", "<", ">", " "), array(""", "'", "\", """, "'", "<", ">", " "), $wynik); $wynik = preg_replace(array("/\=/","/\#/","/\sOR\s/"), "", $wynik); return $wynik; } if(isset($_POST["logowanie"]) && isset($_POST['login']) && isset($_POST['login'])) { $logon_failure = ''; if(empty($_POST["login"])) { $logon_failure .= "Wpisz login<br />"; } if(empty($_POST["password"])) { $logon_failure .= "Wpisz hasło<br />"; } $login = DodawanieDoBazy($_POST["login"]); $password = md5($_POST["password"]); if(empty($logon_failure)) { if(!mysql_fetch_row(mysql_query("SELECT * FROM users WHERE login='".$login."' AND pass='".$password."'"))) { $logon_failure .= "Nieprawidłowy login lub hasło"; } elseif(!mysql_fetch_row(mysql_query("SELECT * FROM users WHERE login='".$login."' AND activity='1'"))) { $logon_failure .= "Konto jest nieaktywne"; } if(empty($logon_failure)) { $_SESSION["login"] = $login; $_SESSION['ip'] = $_SERVER['REMOTE_ADDR']; $_SESSION['browser'] = $_SERVER['HTTP_USER_AGENT']; } else { echo $logon_failure; } } else { echo $logon_failure; } } echo "<div id=\"menu\">"; if(UZYTKOWNIK) { echo "Zalogowany jako ".$_SESSION["login"]; } else { ?> <form action="" method="post" id="logowanie"> <fieldset> <dl> <dt>Login</dt> <dd><input type="text" name="login" id="login" value="Login" onblur="if(this.value=='') this.value='Login';" onfocus="if(this.value=='Login') this.value='';" /></dd> <dt>Hasło:</dt> <dd><input type="password" name="password" id="password" value="Hasło" onblur="if(this.value=='') this.value='Hasło';" onfocus="if(this.value=='Hasło') this.value='';" /></dd> </dl> </fieldset> <div style="float:right;"><input type="submit" name="logowanie" value="Zaloguj się" onclick="WyslijFormularz('logowanie'); return false;" /></div> </form> <img src="http://test.php.pl/www/gfx/login_loading.gif" id="ladowanie" alt="" style="display:none;float:left;" /> <div id="wynik"></div> <p><a href="/rejestracja/">Rejestracja</a> <br /> <a href="/przypomnij/">Przypomnij hasło</a> <? } ?> </div> [PHP] pobierz, plaintext Wszystkie sugestie na temat polepszenia mile widziane (IMG:style_emoticons/default/smile.gif) Ten post edytował erix 19.08.2009, 23:10:18 Powód edycji: [erix] przeniosłem

Odpowiedzi

sebekzosw Zobacz profil	29.08.2009, 12:46:37 Post #2
Grupa: Zarejestrowani Postów: 437 Pomógł: 42 Dołączył: 16.04.2007 Ostrzeżenie: (0%)	Demo (Login: demo , Hasło: demo) - sprawdźcie bezpieczeństwo (IMG:style_emoticons/default/smile.gif) a oto kod: [PHP] pobierz, plaintext <?php if(isset($_POST["logowanie"]) && isset($_POST["login"])) { $logon_failure = ""; if(empty($_POST["login"]) OR $_POST["login"] == "Login") { $logon_failure .= "Wpisz login<br />"; } if(empty($_POST["password"]) OR $_POST["password"] == "Hasło") { $logon_failure .= "Wpisz hasło<br />"; } $login = mysql_real_escape_string($_POST["login"]); $password = sha1($_POST["password"]); $users = mysql_fetch_assoc(mysql_query("SELECT * FROM users WHERE login='".$login."'")); if(empty($logon_failure)) { if($users["pass"] != $password) { if($ustawienia["off_account"] == 1) { if($users["login_failed"] >= 3) { mysql_query("UPDATE users SET activity='0' WHERE login='".$login."' LIMIT 1"); //Deaktywacja konta po 3 błędnych próbach logowania $logon_failure = "Konto zostało zdeaktywowane, ponieważ liczba prób logowania była większa niż 3. Aby aktywować konto, kliknij <a href=\"\">tu</a>"; } else { mysql_query("UPDATE users SET login_failed=login_failed+1, date_last_failed_login='".time()."' WHERE login='".$login."' LIMIT 1"); //Dodawanie +1 do obecnej liczby błędnych logowań $logon_failure .= "Nieprawidłowy login lub hasło"; } } else { $logon_failure .= "Nieprawidłowy login lub hasło"; } } elseif($users["activity"] == 0) { $logon_failure .= "Konto jest nieaktywne"; } if(empty($logon_failure)) { mysql_query("UPDATE users SET last_login='".$users["penultimate_login"]."', penultimate_login='".time()."', login_failed='0' WHERE id='".$users["id"]."' LIMIT 1"); //Aktualizacja danych o ostatnim logowaniu $_SESSION["login"] = $login; $_SESSION["ip"] = $_SERVER["REMOTE_ADDR"]; $_SESSION["browser"] = $_SERVER["HTTP_USER_AGENT"]; } else { echo $logon_failure; } } else { echo $logon_failure; } } echo "<div id=\"menu\">"; if(UZYTKOWNIK) { echo "Zalogowany jako ".$_SESSION["login"]; } else { ?> <form action="" method="post" id="logowanie"> <fieldset> <dl> <dt>Login</dt> <dd><input type="text" name="login" id="login" value="Login" onblur="if(this.value=='') this.value='Login';" onfocus="if(this.value=='Login') this.value='';" /></dd> <dt>Hasło:</dt> <dd><input type="password" name="password" id="password" value="Hasło" onblur="if(this.value=='') this.value='Hasło';" onfocus="if(this.value=='Hasło') this.value='';" /></dd> </dl> </fieldset> <div style="float:right;"><input type="submit" name="logowanie" value="Zaloguj się" onclick="sWyslijFormularz('logowanie'); return false;" /></div> </form> <img src="http://test.php.pl/www/gfx/login_loading.gif" id="ladowanie" alt="" style="display:none;float:left;" /> <div id="wynik"></div> <p><a href="/rejestracja/">Rejestracja</a> <br /> <a href="/przypomnij/">Przypomnij hasło</a> <? } ?> </div> [PHP] pobierz, plaintext Ograniczyłem się do 1 SELECT, ale nie mam pomysłu na 1 UPDATE. Jakieś propozycje polepszenia?

Posty w temacie

sebekzosw [skrypt] Logowanie 19.08.2009, 23:07:12

sniffer32 Cytat(sebekzosw)[PHP] pobierz, plaintext ie"]... 20.08.2009, 06:00:49

sebekzosw Poprawiłem już to co mówiłem, tylko nie wiem gdzie... 20.08.2009, 08:30:28

vonEverest Cytat(sebekzosw @ 20.08.2009, 09:30:2... 23.08.2009, 15:19:17

sniffer32 1. wystarczy zajrzeć do manuala, przykład 3, widać... 21.08.2009, 13:26:57

sebekzosw Trochę poprawiłem całe logowanie dodając nową opcj... 24.08.2009, 14:48:32

vonEverest Może najpierw powiedz, jaką opcję dodałeś? ^^ 26.08.2009, 21:29:19

sebekzosw Deaktywacja konta po 3 błędnych próbach logowania 27.08.2009, 13:24:20

fifi209 [PHP] pobierz, plaintext $wynik = stripslashes... 27.08.2009, 13:40:19

l0ud Cześć Cała funkcja DodawanieDoBazy() jest zupełni... 27.08.2009, 13:48:02

fifi209 Cytat(l0ud @ 27.08.2009, 13:48:02 ) C... 27.08.2009, 13:50:19

l0ud CytatPo prostu to sobie daruj takie posty. Napisa... 27.08.2009, 14:06:29

fifi209 Cytat(l0ud @ 27.08.2009, 14:06:29 ) M... 27.08.2009, 14:09:12

l0ud Tak, o 7 minut. Co do htmlspecialchars, robiła to ... 27.08.2009, 14:23:49

fifi209 Dyskusja jest też na temat. Napisałeś, przy wyrz... 27.08.2009, 14:52:49

l0ud Daje możliwość bezproblemowej edycji i wyświetleni... 27.08.2009, 16:05:07

klocu A tak właściwie to czy jest sens bombardować bazę ... 28.08.2009, 09:18:11

phpion Cytat(klocu @ 28.08.2009, 10:18:11 ) ... 28.08.2009, 09:24:55

sebekzosw Demo (Login: demo , Hasło: demo) - sprawdźcie bezp... 29.08.2009, 12:46:37

« Następny starszy · Oceny · Następny nowszy »

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych: