Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [MySQL][PHP] Bezpieczeństwo przesyłanych danych, weryfikacja loginu przesłanego przez urzytkownika
Rymtumtum
post 4.02.2018, 17:21:29
Post #1





Grupa: Zarejestrowani
Postów: 4
Pomógł: 0
Dołączył: 1.11.2016

Ostrzeżenie: (0%)
-----

Witam, napisałem skrypt logowania do strony i chciałbym żebyście wskazali mi ewentualne błędy w zabezpieczeniu tego skryptu.

[PHP] pobierz, plaintext 
  1. <?php
  2.     session_start();
  3.     if (isset($_POST['login']) && (isset($_POST['password']))) {
  4.         require_once("connect.php");
  5.         mysqli_report(MYSQLI_REPORT_STRICT);
  6.         try {
  7.             $connect = new mysqli($host, $db_user, $db_password, $db_name);
  8.             if ($connect->connect_errno != 0) {
  9.                 throw new Exception(mysqli_connect_errno());
  10.             } else {
  11.                 $veryfication = true;
  12.                 $login = $_POST['login'];
  13.                 $var_login = filter_var($login, FILTER_SANITIZE_STRING);
  14.                 $password = $_POST['password'];
  15.                 $hash_pass = hash('sha512', $password);
  16.                 $result = $connect->query("SELECT * FROM users WHERE login LIKE '$var_login'");
  17.                 $how_much_user = $result->num_rows;
  18.                 if ($how_much_user == 1) {
  19.                     $record = $result->fetch_assoc();
  20.                     $user_pass = $record['password'];
  21.                     if ($hash_pass !== $user_pass) {
  22.                         $veryfication = false;
  23.                     }
  24.                 } else {
  25.                     $veryfication = false;
  26.                 }
  27.                 if ($veryfication == true) {
  28.                     echo "Udalo Ci sie zalogowac!<br>Witaj ".$var_login."!";
  29.                 } else {
  30.                     echo "bledne danie logowania;
  31.                 }
  32.  
  33.                 $connect->close();
  34.             }
  35.         } catch(Exception $error) {
  36.             echo '<span style="color:red;">Błąd serwera! Przepraszamy za niedogodności. Prosimy o rejestrację w innym terminie.</span>';
  37. 	    echo '<br>Informacja dla dewelopera: '.$error;
  38.         }
  39.     } else {
  40.         header("Location: ../log-in");
  41.     }
  42. ?>
[PHP] pobierz, plaintext


Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
SmokAnalog
post 4.02.2018, 17:46:37
Post #2





Grupa: Zarejestrowani
Postów: 1 707
Pomógł: 266
Dołączył: 3.07.2012
Skąd: Poznań

Ostrzeżenie: (0%)
-----

Dwie rzeczy:
  1. Zapoznaj się z prepared statements.
  2. Hasło możesz sprawdzić na poziomie bazy danych, nie musisz pobierać danych użytkownika.
Go to the top of the page
+Quote Post

Posty w temacie
- Rymtumtum   [MySQL][PHP] Bezpieczeństwo przesyłanych danych   4.02.2018, 17:21:29
- - SmokAnalog   Dwie rzeczy: Zapoznaj się z prepared statements.Ha...   4.02.2018, 17:46:37
- - Rymtumtum   Cytat1. Zapoznaj się z prepared statements. Nie m...   5.02.2018, 17:02:21
- - nospor   http://php.net/manual/en/mysqli.prepare.php ps: ...   5.02.2018, 17:05:31
- - Rymtumtum   Czy to o to chodziło?? Wszystko działa tylko pytan...   5.02.2018, 19:00:54
- - nospor   Tak, o to chodzilo. Co do hasla to bindujesz je ta...   6.02.2018, 10:47:37
- - viking   Ja bym jeszcze dodał poziom błędów na exception i ...   6.02.2018, 11:07:36

« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Wersja Lo-Fi Aktualny czas: 16.05.2024 - 17:27
Powered By IP.Board © 2024  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn