[PHP] Czy to logowanie jest bezpieczne? Opcje

[cafepl_com]

Witam,

znalazłem ostatnio taki oto gotowy kod rejestracji/logowania na stronę: http://php.about.com/od/finishedphp1/ss/php_login_code.htm
Czy ten kod jest bezpieczny? Jeśli nie, to bardzo proszę o wyjaśnienie.
Chodzi mi głównie o cookiesy/sesje - czy takie wykorzystanie jest prawidłowe.


Z góry dziękuję.

Ten post edytował cafepl_com 23.01.2010, 19:34:39

[lipiec]

A... jeśli potrzebujesz taką funkcjonalność to jak najbardziej. Mały hint. (IMG:style_emoticons/default/smile.gif)

Jakoś dziwnie napisany ten skrypt.

[PHP] pobierz, plaintext 
...
$_POST['pass'] = md5($_POST['pass']);
if (!get_magic_quotes_gpc()) {
$_POST['pass'] = addslashes($_POST['pass']);
$_POST['username'] = addslashes($_POST['username']);
}
...
[PHP] pobierz, plaintext 

W kodzie powyżej nie podoba mi się:

1) Najpierw md5 a potem addslashes? Hm. (IMG:style_emoticons/default/smile.gif)
2) Dwukrotne addslashes na $_POST['username], bo parenaście linii wcześniej:

[PHP] pobierz, plaintext 
// checks if the username is in use
if (!get_magic_quotes_gpc()) {
$_POST['username'] = addslashes($_POST['username']);
}
[PHP] pobierz, plaintext 

Po za tym, używanie niepotrzebnych dodatkowych zmiennych np. w tym wypadku usercheck:

[PHP] pobierz, plaintext 
$usercheck = $_POST['username'];
$check = mysql_query("SELECT username FROM users WHERE username = '$usercheck'") 
[PHP] pobierz, plaintext 

Dalej przeleciałem tylko pobieżnie. Ogólnie pani Angela Bradley się nie popisała i dla mnie wygląda amatorsko, nie polecam.

Co nie zmienia faktu, że podstawowe zabezpieczenia są. Chyba, że rzeczywiście cafepl__com chce użyć na tym Ctrl+C, Ctrl+V, wtedy nie bardzo, ale wierzę, że po prostu chce mieć tylko pogląd na użyte funkcje.