Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> $_SESSION i Uwierzytelnianie - pytanie
MGreg
post
Post #1





Grupa: Zarejestrowani
Postów: 24
Pomógł: 0
Dołączył: 18.09.2007

Ostrzeżenie: (0%)
-----

Witam.
Męczę się nad bezpiecznym systemem uwierzytelniania i proszę ocenić, czy takie coś będzie bezpieczne:
[PHP] pobierz, plaintext 
  1. <?php
  2. session_start();
  3.  
  4. if(isset($_POST['login']) and isset($_POST['haslo']) and $_GET['action']=='zaloguj')
  5. 	{
  6. 	$query = mysql_query("select * from `users` where `login`='".mysql_real_escape_string($_POST['login'])."' and `haslo`='".mysql_real_escape_string(md5($_POST['haslo'])).'"');
  7. 	if(mysql_num_rows($query)>0)
  8. 	   {
  9. 	   $_SESSION['logged'] = 1;
  10. 	   $_SESSION['username'] = $_POST['login'];
  11. 	   }
  12. 	else
  13. 		{
  14. 		$_SESSION['logged']=0;
  15. 		{
  16. 	}
  17.  
  18.    if($_SESSION['logged']==1)
  19. 	  {
  20. 	   /* JAKIŚ TAM PANEL ADMINISTRACYJNY */
  21. 	  }
  22.  
  23. ?>
[PHP] pobierz, plaintext


Głównie chodzi mi o to, czy ktoś może zmienić wartość tablicy sesji $_SESSION['logged'] na 1 i tym samym zdobyć uprawnienia admina.

Ten post edytował MGreg 4.06.2008, 17:35:26
Go to the top of the page
+Quote Post

Posty w temacie
- MGreg   $_SESSION i Uwierzytelnianie - pytanie   4.06.2008, 17:32:36
- - marcio   Ja bym zmienil jak juz cos jedna rzecz zamiast daw...   4.06.2008, 17:38:11
- - MGreg   Umieściłem tylko przykład, dlatego nie dodawałem e...   4.06.2008, 17:52:21
- - pyro   jeszcze zabezpieczenie przed XSS by można było ^^   4.06.2008, 17:58:16
- - Shili   Nie jest, ale czy dyrektywa session.use.cookies.on...   4.06.2008, 18:10:55
|- - MGreg   Cytat(Shili @ 4.06.2008, 19:10:55 ) @...   4.06.2008, 18:15:58
|- - pyro   Cytat(Shili @ 4.06.2008, 19:10:55 ) N...   4.06.2008, 20:15:32
|- - LonelyKnight   Cytat(pyro @ 4.06.2008, 21:15:32 ) No...   4.06.2008, 21:02:40
|- - Cotter   Cytat(LonelyKnight @ 4.06.2008, 22:02...   5.06.2008, 10:22:53
||- - LonelyKnight   Cytat(Cotter @ 5.06.2008, 11:22:53 ) ...   5.06.2008, 11:27:19
|- - pyro   Cytat(LonelyKnight @ 4.06.2008, 22:02...   5.06.2008, 15:49:34
|- - LonelyKnight   Cytat(pyro @ 5.06.2008, 16:49:34 ) Au...   6.06.2008, 12:00:38
- - Shili   Nie nie, to było do @pyro. Powinnam była wyraźniej...   4.06.2008, 18:28:19
- - Shili   Nieprawda, ale przekazywane jest tylko login i has...   4.06.2008, 20:27:34
- - MGreg   Co do XSS stosuję strip_tags(); i chyba to mi wyst...   4.06.2008, 20:54:44
- - MGreg   Zobaczcie czy teraz jest lepiej. Dodałem spra...   5.06.2008, 08:25:43
- - MGreg   Wracając do tematu... czy może ktoś obiektywnie oc...   5.06.2008, 11:49:12
- - LonelyKnight   Może być. session_regenerate_id(true) ...   5.06.2008, 12:33:43
- - wlamywacz   Nie Select * tylko wybrane pola czyli Select pole1...   5.06.2008, 16:55:39
|- - pyro   Cytat(wlamywacz @ 5.06.2008, 17:55:39...   5.06.2008, 18:44:24
- - Shili   Dalej nie ma tam żadnej wzmianki o tym, że autor c...   5.06.2008, 20:25:36
- - empathon   http://www.acros.si/papers/session_fixation.pdf P...   5.06.2008, 23:59:08

« Następny starszy · PHP · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 22.12.2025 - 23:04
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn