Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

 
Reply to this topicStart new topic
> zabezpieczenie zalogowanego uzytkownika
bialko0019
post 26.01.2016, 15:20:58
Post #1





Grupa: Zarejestrowani
Postów: 294
Pomógł: 4
Dołączył: 19.12.2008

Ostrzeżenie: (0%)
-----


hej mam pytanie - zrobilem prosty skrypt logowania. Uzytkownik loguje sie, sprawdzam login i haslo czy pasuje w bazie danych (haslo kodowanie z sola md5 i sha1) i jesli jest okey - dodaje sesje w bazie danych (losowy ciag znakow) i dodaje ciasteczko z wartoscia tego losowego ciagu znakow. Warunek sprawdzjacy czyt ktos jest zalogowany, to sprawdzenie tego ciasteczka, czy wystepuje w bazie, jesli tak - to jaki user. Jesli sie znajduje, to do tego co znalazlo - jestes zalogowany. Jak to mozna jeszcze bardziej zabezpieczyc? (oprocz xss i sql inject typowych). Ciacho oczywiscie z httpOnly.


--------------------
---
"kto pyta ten nie błądzi"...
Go to the top of the page
+Quote Post
redeemer
post 26.01.2016, 15:44:46
Post #2





Grupa: Zarejestrowani
Postów: 915
Pomógł: 210
Dołączył: 8.09.2009
Skąd: Tomaszów Lubelski/Wrocław

Ostrzeżenie: (0%)
-----


Używaj password_hash() i password_verify().

I pozwól PHP zająć się mechanizmem sesji, a nie wymyślaj go od nowa. https://secure.php.net/manual/en/session.configuration.php


--------------------
Go to the top of the page
+Quote Post
bialko0019
post 27.01.2016, 16:47:05
Post #3





Grupa: Zarejestrowani
Postów: 294
Pomógł: 4
Dołączył: 19.12.2008

Ostrzeżenie: (0%)
-----


No okey, czyli trzymac w sesji zamiast w ciasteczku sesje? I tyle w mozliwosciach zabezpieczenia? Moze jakies inne procedury sie stosuje do zabezpieczania logowania?


--------------------
---
"kto pyta ten nie błądzi"...
Go to the top of the page
+Quote Post
lukaskolista
post 27.01.2016, 17:12:17
Post #4





Grupa: Zarejestrowani
Postów: 872
Pomógł: 94
Dołączył: 31.03.2010

Ostrzeżenie: (0%)
-----


A co jeszcze chcesz zabezpieczać? Hash powinien być na tyle długi, żeby nie dało się go w prosty sposób odgadnąć. Poza tym sesja powinna działać na zasadzie tokenów:
1. dostajesz token na 1 zapytanie
2. Jak wykonujesz zapytanie i podany token się zgadza, to generuje Ci nowy token
3. Wróć do pkt. 1

Do realizacji powyższego najlepiej użyj natywnego mechanizmu sesji + funkcji session_regenerate_id.
Go to the top of the page
+Quote Post
bialko0019
post 27.01.2016, 21:41:01
Post #5





Grupa: Zarejestrowani
Postów: 294
Pomógł: 4
Dołączył: 19.12.2008

Ostrzeżenie: (0%)
-----


Dzięki! Już wdrażam smile.gif


--------------------
---
"kto pyta ten nie błądzi"...
Go to the top of the page
+Quote Post

Reply to this topicStart new topic
1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 



RSS Wersja Lo-Fi Aktualny czas: 28.03.2024 - 12:24