Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [PHP][MySQL] Bezpieczeństwo i poprawność logowania
Darekxp
post
Post #1





Grupa: Zarejestrowani
Postów: 117
Pomógł: 0
Dołączył: 13.05.2007

Ostrzeżenie: (0%)
-----

Witam!

Czy takie logowanie jest w miare bezpieczne? Jeśli nie co jest nie tak? Za pomoc z góry dziękuję

[PHP] pobierz, plaintext 
  1. <?php
  2.  
  3.   if($_SESSION['userId'] > 1)  
  4.   { 
  5.     header('Location: /index.php');
  6.   }        
  7.   else {
  8.  
  9.   $user      = filter($_POST['login']);
  10.   $password  = md5(filter($_POST['password']));  
  11.   $query     = mysql_query(' SELECT * FROM `users` WHERE userLogin="'.query($user).'" AND userPassword="'.query($password).'" AND userActive="yes" ');
  12.  
  13.   if($query && mysql_num_rows($query) == 1)
  14.   {
  15.     while($row = mysql_fetch_array($query))      
  16.     {
  17.         session_start();          
  18.         if (!isset($_SESSION['initiate']))          
  19.         {                   
  20.           session_regenerate_id();              
  21.           $_SESSION['initiate']           = true;
  22.           $_SESSION['initiate']           = $new;
  23.           $_SESSION['address_ip']         = $_SERVER['REMOTE_ADDR'];
  24.           $_SESSION['userId']             = $row['userId'];
  25.           $_SESSION['userLogin']          = $row['userLogin'];
  26.           $_SESSION['userPassword']       = $row['userPassword'];                    
  27.           $_SESSION['userActive']         = $row['userActive']; 
  28.           $_SESSION['userGroup']          = $row['userGroup']; 
  29.           $_SESSION['userName']           = $row['userName']; 
  30.           $_SESSION['userSurname']        = $row['userSurname'];    
  31.           $_SESSION['userCity']           = $row['userCity'];  
  32.           $_SESSION['userPhoneNumber']    = $row['userPhoneNumber']; 
  33.           $_SESSION['userEmail']          = $row['userEmail']; 
  34.           $_SESSION['userGGNumber']       = $row['userGGNumber']; 
  35.           $_SESSION['userAboutMe']        = $row['userAboutMe'];  
  36.           $_SESSION['userDateBirth']      = $row['userDateBirth']; 
  37.  
  38.           $_SESSION['userHideDateBirth']  = $row['userHideDateBirth'];   
  39.           $_SESSION['userHideSurname']    = $row['userHideSurname'];    
  40.           $_SESSION['userHidePhoneNumber']= $row['userHidePhoneNumber']; 
  41.           $_SESSION['userHideEmail']      = $row['userHideEmail']; 
  42.           $_SESSION['userHideGGNumber']   = $row['userHideGGNumber']; 
  43.           $_SESSION['userHideAboutMe']    = $row['userHideAboutMe'];  
  44.  
  45.           $_SESSION['userLastLogin']      = $row['userLastLogin'];  
  46.           $_SESSION['userLastLoginIP']    = $row['userLastLoginIP'];
  47.  
  48.           mysql_query(' UPDATE `users` SET userLastLogin="'.query(date('Y-m-d H:i:s')).'"           WHERE userId="'.query($_SESSION['userId']).'" LIMIT 1');
  49.           mysql_query(' UPDATE `users` SET userLastLoginIP="'.query($_SERVER['REMOTE_ADDR']).'"     WHERE userId="'.query($_SESSION['userId']).'" LIMIT 1');
  50.  
  51.           header('Location: /myAccount');                                 
  52.         }
  53.     }
  54.   }
  55.   else
  56.     { 
  57.       systemMessage('Logowanie', 'Prawdopodobnie podałeś zły login, lub hasło.', '', '', 'login', 'Spróbuj ponownie się zalogować', '', '', '', 'COMMUNIQUE_ERROR');
  58.     }
  59. }
  60.  
  61. ?>
[PHP] pobierz, plaintext
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
Van Pytel
post
Post #2





Grupa: Zarejestrowani
Postów: 150
Pomógł: 6
Dołączył: 3.03.2010

Ostrzeżenie: (0%)
-----

Po co to:
[PHP] pobierz, plaintext 
  1. AND userPassword="'.query($password)
[PHP] pobierz, plaintext


Lepiej pobrać login i hasło usera z bazy (WHERE login = login), a potem dopiero sprawdzić w php czy hasło równa się haśle (if...)
Go to the top of the page
+Quote Post
PanGuzol
post
Post #3





Grupa: Zarejestrowani
Postów: 353
Pomógł: 50
Dołączył: 28.07.2005
Skąd: Łaziska Górne

Ostrzeżenie: (0%)
-----

Cytat(Van Pytel @ 21.04.2012, 11:30:32 ) *
Po co to:
[PHP] pobierz, plaintext 
  1. AND userPassword="'.query($password)
[PHP] pobierz, plaintext


Lepiej pobrać login i hasło usera z bazy (WHERE login = login), a potem dopiero sprawdzić w php czy hasło równa się haśle (if...)

Lepiej przenieść jak najwięcej logiki do bazy danych. Czyli od razu w zapytaniu dać porównania do loginu i hasła, warto jeszcze do tego zrobić index unique dla loginu.
Go to the top of the page
+Quote Post

Posty w temacie
- Darekxp   [PHP][MySQL] Bezpieczeństwo i poprawność logowania   19.04.2012, 22:43:50
- - vieri_pl   Na pewno możesz posolić hasło, samo md5 to dość ma...   20.04.2012, 03:31:22
- - pyro   Cały ten kod jest kompletnie bez sensu. Nie jest a...   20.04.2012, 04:24:22
- - vieri_pl   Pyro, ale kod nie jest bez sensu bo spełnia swoje ...   20.04.2012, 04:37:19
- - Niktoś   Przechowywanie wszystkiego w sesji,nie jest ani be...   20.04.2012, 15:06:28
- - PanGuzol   Korzystasz z $_SESSION w 3 linii ale session_...   21.04.2012, 01:48:00
- - Van Pytel   Po co to: [PHP] pobierz, plaintext AND userPasswor...   21.04.2012, 11:30:32
- - PanGuzol   Cytat(Van Pytel @ 21.04.2012, 11:30:3...   21.04.2012, 17:43:09

« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 28.12.2025 - 18:15
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn