Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> czy takie sposób jest dobry?
john_doe
post
Post #1





Grupa: Zarejestrowani
Postów: 873
Pomógł: 25
Dołączył: 24.07.2005

Ostrzeżenie: (0%)
-----

Witajcie,
napisałem dziś logowanie. Napiszcie czy jest ok? Ogólnie działa ale, że działa to nie wszystko. Co byście zmienili? Co robię źle i bez sensu? czy idea jest oki? Czy idzie ten kod jakoś obejść i wejść mimo logowania na stronę?

poniżej kod z komentarzem

[PHP] pobierz, plaintext 
  1. <?php
  2. session_start();
  3.         
  4.     include ('db/conection.php');  // łącze się z db za pomocą PDO
  5.     
  6.     include('querries/confQuerries.php');  // tutaj plik z zapytaniami SQL
  7.     
  8.     
  9.     $howMany = $dbh -> query($COUNT_LOGIN_USERS);     // tutaj zapytanie count(*) where $_POST['login']
  10.         
  11.     foreach( $howMany as $k ) 
  12.     {
  13.     
  14.         $count = $k[0];
  15.     
  16.     }
  17.     
  18.     
  19.     if ( $count == 1 )  // jeśli zapytanie zwróciło jeden wiersz
  20.     {
  21.                 foreach ( $dbh -> query( $SELECT_USER ) as $row ) // wybieram wszystkie dane usera where $_POST['login']
  22.                 {
  23.                     if ( $_POST['login'] == $row[1] && $_POST['pass'] == $row[2] )  // jeśli wpisany login odpowiada loginowi w bazie i wpisane haslo odpowiada temu z bazy przypisuje wynik zapytania do sesji
  24.                     {
  25.                         $_SESSION['id']       = $row[0];
  26.                         $_SESSION['login']    = $row[1];
  27.                         $_SESSION['pass']     = $row[2];
  28.                         $_SESSION['name']     = $row[3];
  29.                         $_SESSION['surname']  = $row[4];
  30.                         $_SESSION['nickname'] = $row[5];
  31.                         $_SESSION['level']    = $row[6];
  32.                         $_SESSION['xlid']     = $row[7];
  33.                         $_SESSION['region']   = $row[8];
  34.                         $_SESSION['logIn']    = 1;
  35.                         
  36.                         $output = getdate();
  37.                         
  38.                         $loginAim = $output[year] . '-' . $output[mon] . '-' . $output[mday] . ', ' . $output[hours] . ':' . $output[minutes] . ':' . $output[seconds];
  39.                         
  40.                         include('querries/confQuerries.php');
  41.                         
  42.                         if ( $_SESSION['xlid'] != 5555555 ) // nie loguje ADMINA
  43.                         {
  44.                             $dbh -> query( $INSERT_LOGGED_USER ); // log kto i kiedy sie zalogował
  45.                                 
  46.                             foreach( $dbh -> query( $SELECT_LAST_INSERT_ID_PER_USER ) as $row )
  47.                             {
  48.                                 $_SESSION['sessionIdLogger'] = $row[0];
  49.                             }
  50.         
  51.                         }    
  52.                             
  53.                         header( 'Location: http://' . $_SERVER['HTTP_HOST'] . rtrim(dirname($_SERVER['PHP_SELF']), '/') . '/' . mainView.'.'.php ); // jesli wszystko ok to kieruje na stronę jakąś tam dostępną po zalogowaniu poprawnym
  54.                         exit;
  55.                     }else 
  56.                         {
  57.                             header( 'Location: http://' . $_SERVER['HTTP_HOST'] . rtrim(dirname($_SERVER['PHP_SELF']), '/') . '/' . index.'.'.php ); // jeśli coś nie tak to kieruje na stronę logowania
  58.                             exit;
  59.                         }
  60.                     
  61.                 }
  62.     
  63.     }else header( 'Location: http://' . $_SERVER['HTTP_HOST'] . rtrim(dirname($_SERVER['PHP_SELF']), '/') . '/' . index.'..php );
  64.     
  65.     
  66. ?>
[PHP] pobierz, plaintext
Go to the top of the page
+Quote Post

Posty w temacie
- john_doe   czy takie sposób jest dobry?   26.05.2009, 14:45:04
- - no-scared   Cytattutaj zapytanie count(*) where $_POST[...   26.05.2009, 14:47:12
- - john_doe   [PHP] pobierz, plaintext <?php$COUNT_LOGIN_USER...   26.05.2009, 14:49:49
- - pyro   Podatne na SQL Injection. Możliwość obejścia logow...   26.05.2009, 14:59:33
- - bim2   [PHP] pobierz, plaintext <?php$dbh -> query...   26.05.2009, 15:00:31
- - john_doe   pyro jak taki skrypt można obejść możesz napisać. ...   26.05.2009, 15:06:29
- - bim2   wpisz Cytat' OR '1'='1   26.05.2009, 16:33:57
- - fifi209   od czego masz prepare, bindValue, bindParam ? ...   26.05.2009, 17:14:23
- - Crozin   Po co najpierw pobierasz ilość rekordów dla login ...   26.05.2009, 20:13:13
|- - fifi209   Cytat(Crozin @ 26.05.2009, 21:13:13 )...   27.05.2009, 06:18:51
- - john_doe   wpisałem w pole login ' OR '1'=...   26.05.2009, 22:21:16
- - erix   Cytatdzięki za odpowiedzi. Otwieracie mi oczy ...   26.05.2009, 22:59:33

« Następny starszy · PHP · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 24.12.2025 - 02:02
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn