Logowanie - Forum PHP.pl

Logowanie, pomoc przy logowaniu

seba199696 Zobacz profil	7.09.2011, 17:40:13 Post #1
Grupa: Zarejestrowani Postów: 119 Pomógł: 0 Dołączył: 4.01.2011 Ostrzeżenie: (20%)	[PHP] pobierz, plaintext <?php session_start(); include 'dbc.php'; //polaczenie z baza danych $user_login = htmlspecialchars(stripslashes(strip_tags(trim($_POST['username'])))); $pass = md5(htmlspecialchars(stripslashes(strip_tags(trim($_POST['password']))))); $user_password = sha1($pass.$user_login); $user_log = "user_login='$user_login'"; $user_pass = "user_password='$user_password'"; $result = mysql_query("SELECT `id`,`user_login`,`user_password`,`banned` FROM users WHERE $user_log AND $user_pass AND `banned` = '0' ") or die (mysql_error()); if (mysql_num_rows($result) == 1) { session_regenerate_id (true); $_SESSION['user_name'] = $user_login; header('Location: index2.php'); } else { echo "Logowanie się nie powiodło :("; } ?> [PHP] pobierz, plaintext Witam, napisałem skrypt logujący użytkownika wszystko działa prawidłowo lecz chcę się dowiedzieć w jaki sposób zabezpieczyć taki skrypt przed atakami. Robię coś źle? Jakieś propozycję? Dzięki

Odpowiedzi

bastard13 Zobacz profil	7.09.2011, 19:00:12 Post #2
Grupa: Zarejestrowani Postów: 664 Pomógł: 169 Dołączył: 8.01.2010 Skąd: Kraków Ostrzeżenie: (0%)	Sorry, z tą solą to trochę pokręciłem. Tak to jest jak się robi dziesięć rzeczy na raz:P Sól to jest unikalny string (zazwyczaj). Może on być zahardcodowany w pliku lub zapisany w bazie. Dzięki niej ciężej jest odkryć hasło, które zostało przepuszczone przez funkcję haszującą. Twoją solą może być np. 'sad8%$9sdk' lub cokolwiek zechcesz. Im bardziej przypadkowy jest to zbiór znaków, tym lepiej. I tą właśnie sól doklejasz do hasła, które przesłał użytkownik, nie ważne czy to rejestracja, czy logowanie. http://en.wikipedia.org/wiki/Salt_%28cryptography%29 Ten post edytował bastard13 7.09.2011, 19:01:22

Posty w temacie

seba199696 Logowanie 7.09.2011, 17:40:13

tehaha a to co za wynalazek? [HTML] pobierz, plaintext $p... 7.09.2011, 17:48:16

bastard13 [PHP] pobierz, plaintext $pass = md5(htmlspeci... 7.09.2011, 17:52:22

seba199696 ok dzięki zrobie tak ja mówicie "Możesz uży... 7.09.2011, 18:26:27

bastard13 Sorry, z tą solą to trochę pokręciłem. Tak to jest... 7.09.2011, 19:00:12

seba199696 Mógłbyś mi wytłumaczyć o co chodzi z mysql_real_es... 7.09.2011, 19:17:48

bastard13 Cytatmysql_real_escape_string() calls MySQL's ... 7.09.2011, 19:33:26

seba199696 Poprawiłem skrypt, teraz dobrze? [PHP] pobierz, p... 8.09.2011, 21:22:01

bastard13 Tak na pierwszy rzut oka to ok. Usunąłbym jednak t... 8.09.2011, 22:29:24

seba199696 Ok Mam jeszcze jedno pytanie, przeczytałem gdzieś... 10.09.2011, 09:53:38

tehaha w sesji trzymasz to co potrzebujesz oprócz hasła. ... 10.09.2011, 11:52:45

seba199696 Czyli jak użytkownik dodaje komentarz to będzie ..... 10.09.2011, 11:56:22

tehaha tak, ale dla zabezpieczenia dajesz jeszcze rzutowa... 10.09.2011, 12:24:30

seba199696 a przy poprawnym logowaniu przypisać id używając: ... 10.09.2011, 13:00:09

tehaha dokładnie, możesz również przypisać inne przydatne... 10.09.2011, 13:08:19

seba199696 Dzięki Mam jeszcze jedno pytanko w bazie mam u... 10.09.2011, 22:10:56

tehaha tak oba varchar, ponieważ zezwalasz na użycie dowo... 11.09.2011, 00:13:48

bastard13 A ja mam tylko pytanie po co to rzutowanie na inte... 11.09.2011, 00:31:56

tehaha CytatA ja mam tylko pytanie po co to rzutowanie na... 11.09.2011, 10:02:56

Fifi209 Chciałbym dodać do wypowiedzi tehaha, co to typów,... 11.09.2011, 15:04:27

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Aktualny czas: 6.10.2025 - 09:18

Hosting zapewnia