Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [HTML][MySQL][PHP] Zabezpieczenie PA czy wystarczy?
lukaszk
post
Post #1





Grupa: Zarejestrowani
Postów: 159
Pomógł: 0
Dołączył: 21.12.2010

Ostrzeżenie: (0%)
-----

Witam, proszę o informację czy taki system logowania 
[PHP] pobierz, plaintext 
  1. <?php
  2.         session_start();
  3.         session_destroy();
  4.  
  5.         $message=""; //wiadomość
  6.  
  7.         $login=$_POST['login'];
  8.         if($login){
  9.                 $uzytkownik=trim($_POST['uzytkownik']);
  10.                 $md5_haslo= trim(sha1(md5($_POST['haslo'])));
  11.  
  12.  
  13.                 //połączenie z bazą danych
  14. 				include "page/db.php";
  15.  
  16.                 $rezultat = mysql_query("SELECT * FROM admin WHERE login_admin='$uzytkownik' AND haslo_admin='$md5_haslo'");
  17.                 $rekord = mysql_fetch_array($rezultat);
  18.                 $imie = $rekord[name];
  19.                 $nazwisko = $rekord[usernazwisko];
  20.                // $firma = $rekord[firma];
  21.  
  22.                 if(@mysql_num_rows($rezultat)){
  23.                         session_register("uzytkownik");
  24.                         session_register("name");
  25.                         session_register("usernazwisko");
  26.                         //session_register("firma");
  27.  
  28.                         header("location:index.php");
  29.                         exit;
  30.                 }else{
  31.                         $message="Nieprawidłowa nazwa użytkownika lub hasło";
  32.                 }
  33.         }
  34. ?>
[PHP] pobierz, plaintext


i taka zawartość w pliku głównym 
[PHP] pobierz, plaintext 
  1. <?php 
  2.         session_start();
  3. 		setcookie ("uzytkownik", "", time() - 36);
  4.         if(!session_is_registered("uzytkownik")){
  5.                 header('Location: logowanie.php');
  6.         }
  7.  
  8. ?>
  9.  
  10.  
  11.  
[PHP] pobierz, plaintext


Wystarczy do zabezpieczenia PA? jeśli macie inne ciekawsze i bezpieczniejsze propozycję proszę o pomoc
Pozdrawiam

nalazłem również ciekawy kod który zabezpiecza identyfikuje czy dane pochodzą z odpowiedniego formularza.
Ale nie wiem jak go wprowadzić 
[PHP] pobierz, plaintext 
  1.  
  2. // umieszczamy zaraz po session_start();
  3.  
  4. if (!isset($_SESSION['token'])) 
  5. {
  6.    $_SESSION['token'] = sha1(uniqid(rand(), true));
  7. }
  8.  
  9. // użycie: 
  10.  
  11. if (warunek1 && check()==true) 
  12. {}
  13.  
  14. function check () 
  15. {
  16.    if ($_POST['token']!=$_SESSION['token'])
  17.        die('hack');
  18.    else
  19.        return true;
  20. }
[PHP] pobierz, plaintext


Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
lukaszk
post
Post #2





Grupa: Zarejestrowani
Postów: 159
Pomógł: 0
Dołączył: 21.12.2010

Ostrzeżenie: (0%)
-----

Mam po poprawkach (IMG:style_emoticons/default/smile.gif) i jak ?

[PHP] pobierz, plaintext 
  1. <?php
  2.         session_start();
  3.      //   session_destroy();
  4. 		if($_GET['logout'] == "true" && ((int)$_GET['a']==1) && ($_SESSION["uzytkownik"]=='admin'))
  5. 		{		
  6. 		echo '<p class="message message-success canhide"><b>Zostales prawidłowo wylogowany <img title="zamknij" width="25px;" align="right" src="images/delete.png"></b></p>';
  7. 		session_destroy();
  8. 		}
  9.  
  10. 		$login= htmlspecialchars($_POST['login']);
  11.  
  12.  
  13.  
  14. 		        if(isset($_POST['login'])){
  15. 	                $uzytkownik= htmlspecialchars (trim($_POST['uzytkownik']));
  16. 	                $md5_haslo= trim(sha1(md5($_POST['haslo'])));
  17.  
  18.  
  19.                 //połączenie z bazą danych
  20. 				include "page/db.php";
  21.  
  22.                 $rezultat = mysql_query("SELECT * FROM admin WHERE login_admin='$uzytkownik' AND haslo_admin='$md5_haslo'");
  23.                 $rekord = mysql_fetch_array($rezultat);
  24.                 $imie = $rekord[name];
  25.                 $nazwisko = $rekord[usernazwisko];
  26.                // $firma = $rekord[firma];
  27.  
  28.                 if(@mysql_num_rows($rezultat)){
  29.                         $_SESSION["uzytkownik"];
  30.                         $_SESSION["name"];
  31.                         $_SESSION["usernazwisko"];
  32.                         //session_register("firma");
  33.  
  34.                         header("location:index.php");
  35.                         exit;
  36.                 }else{
  37.                         $message="Nieprawidłowa nazwa użytkownika lub hasło";
  38.                 }
  39.         }
  40. ?>
[PHP] pobierz, plaintext
Go to the top of the page
+Quote Post

Posty w temacie
- lukaszk   [HTML][MySQL][PHP] Zabezpieczenie PA czy wystarczy?   24.01.2011, 19:19:13
- - CuteOne   Brak jakichkolwiek zabezpieczen - każdy może wstaw...   24.01.2011, 19:22:49
- - kalmaceta   po 1. o sql injection nie czytałeś jak mniemam, br...   24.01.2011, 19:26:01
- - lukaszk   Mam po poprawkach i jak ? [PHP] pobierz, plainte...   24.01.2011, 20:02:56
- - Mephistofeles   Źle. Wielokrotne hashowanie zwiększa prawdopodobie...   24.01.2011, 20:11:10
- - lukaszk   Masz na myśli coś takiego [PHP] pobierz, plainte...   24.01.2011, 20:31:04
- - nospor   nie htmlspecialchars a mysql_escape_string CytatZ...   24.01.2011, 20:36:14
- - lukaszk   Trochę poczytałem i znalazłem sposób taki w którym...   26.01.2011, 17:11:50

« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 26.09.2025 - 05:49
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn