[PHP]AJAX logowanie, pomoc w zabezpieczeniu kodu |
[PHP]AJAX logowanie, pomoc w zabezpieczeniu kodu |
7.10.2018, 10:56:46
Post
#1
|
|
Grupa: Zarejestrowani Postów: 680 Pomógł: 28 Dołączył: 14.08.2014 Ostrzeżenie: (0%) |
Witam.
postanowiłem napisać logowanie opartym o jquery i teraz się zastanawiam czy to będzie dobry pomysł pod względem bezpieczeństwa. php:
JS:
|
|
|
7.10.2018, 11:37:20
Post
#2
|
|
Grupa: Zarejestrowani Postów: 6 365 Pomógł: 1114 Dołączył: 30.08.2006 Ostrzeżenie: (0%) |
Czemu nie używasz password_hash i verify dla haseł?
-------------------- |
|
|
7.10.2018, 11:52:55
Post
#3
|
|
Grupa: Zarejestrowani Postów: 680 Pomógł: 28 Dołączył: 14.08.2014 Ostrzeżenie: (0%) |
Po to tu napisałem by otrzymać pomoc
Jak już wspomniałeś o: password_hash i verify możesz coś więcej nadmienić jak to powinno wyglądać ? hashuje hasło w jquery i przesyłaniu do php i tam je odkodowuje ? czy o co chodzi ? |
|
|
7.10.2018, 11:57:58
Post
#4
|
|
Grupa: Zarejestrowani Postów: 6 365 Pomógł: 1114 Dołączył: 30.08.2006 Ostrzeżenie: (0%) |
Zobacz w dokumentacji. Do jquery i kodu js dostęp ma każdy więc to by była jedna z głupszych rzeczy.
-------------------- |
|
|
7.10.2018, 12:07:40
Post
#5
|
|
Grupa: Zarejestrowani Postów: 680 Pomógł: 28 Dołączył: 14.08.2014 Ostrzeżenie: (0%) |
wcześniej kodowane hasło miałem za pomocą:
dobra kumam, trzeba iść z biegiem wyższego Php'a:
czyli:
a przy zapisie / rejestracji usera
czyli reasumując user wpisuje swój login muszę najpierw zwrócić hasło by później je wstawić do funkcji i porównać czy jest true czy false ? |
|
|
7.10.2018, 12:14:59
Post
#6
|
|
Grupa: Zarejestrowani Postów: 6 365 Pomógł: 1114 Dołączył: 30.08.2006 Ostrzeżenie: (0%) |
Od 7.2 algorytmem jest argon2i. Funkcja safepassword w tym wypadku nic nie robi.
-------------------- |
|
|
7.10.2018, 12:32:37
Post
#7
|
|
Grupa: Zarejestrowani Postów: 680 Pomógł: 28 Dołączył: 14.08.2014 Ostrzeżenie: (0%) |
nie bardzo wiem jak to teraz ugryźć, bo przy zapisie do bazy:
tak przy porównywaniu już na etapie bindowania mam te hasło porównywać czy najpierw te hasło wprowadzone hasło przelecieć raz jeszcze function SafePasswrod? a później w warunku sprawdzić ?
|
|
|
7.10.2018, 12:39:28
Post
#8
|
|
Grupa: Zarejestrowani Postów: 6 365 Pomógł: 1114 Dołączył: 30.08.2006 Ostrzeżenie: (0%) |
Przy zapisie do bazy hash a potem wyciągasz użytkownika na podstawie loginu i porównujesz verify hasło podane z hashem.
-------------------- |
|
|
7.10.2018, 12:41:02
Post
#9
|
|
Grupa: Zarejestrowani Postów: 680 Pomógł: 28 Dołączył: 14.08.2014 Ostrzeżenie: (0%) |
oł patrz na to: Call to undefined function password_hash()
a tu zonk: PHP Version 5.3.29 a w/w działa od 5.5 Ten post edytował casperii 7.10.2018, 12:51:17 |
|
|
7.10.2018, 13:22:02
Post
#10
|
|
Grupa: Zarejestrowani Postów: 6 365 Pomógł: 1114 Dołączył: 30.08.2006 Ostrzeżenie: (0%) |
No to najwyższa pora zmienić hosting bo nawet na takim starociu nie ma powodu żeby rozmawiać o "bezpieczeństwie". Od lat nie ma wsparcia ani łat.
-------------------- |
|
|
7.10.2018, 18:00:37
Post
#11
|
|
Grupa: Zarejestrowani Postów: 361 Pomógł: 12 Dołączył: 9.01.2010 Ostrzeżenie: (10%) |
|
|
|
7.10.2018, 23:26:42
Post
#12
|
|
Grupa: Zarejestrowani Postów: 680 Pomógł: 28 Dołączył: 14.08.2014 Ostrzeżenie: (0%) |
@woxala123 tak na przyszłość nie podawaj linków , które nic nie wnoszą , tym bardziej u kogoś kto potrzebuje pomocy.
Temat z błędem mysql rozwiązany, wystarczyło usunąć usera i utworzyć ponownie oraz połączyć go z bazą danych. ostateczny php:
teraz pytanie co powinienem przekazać do jquery żeby zalogować i żeby nie można było tego wyłudzić ? wymyśliłem sobie, że tworząc $code będzie można go przekazać i w jquery sprawdzać jego poprawność ale nie wiem czy to nie przekombinowane ? |
|
|
8.10.2018, 09:56:16
Post
#13
|
|
Grupa: Moderatorzy Postów: 36 459 Pomógł: 6297 Dołączył: 27.12.2004 |
Nie bardzo rozumiem po co chcesz jakies info przekazywac do jQuery? Zalogowanie zrobiles w php i user jest zalogowany. Co ma ci ktos wyludzac w jquery?
-------------------- "Myśl, myśl, myśl..." - Kubuś Puchatek || "Manual, manual, manual..." - Kubuś Programista "Szukaj, szukaj, szukaj..." - Kubuś Odkrywca || "Debuguj, debuguj, debuguj..." - Kubuś Developer |
|
|
8.10.2018, 10:22:11
Post
#14
|
|
Grupa: Zarejestrowani Postów: 116 Pomógł: 33 Dołączył: 8.09.2014 Ostrzeżenie: (0%) |
na froncie powinieneś mieć coś takiego
|
|
|
8.10.2018, 11:04:38
Post
#15
|
|
Grupa: Zarejestrowani Postów: 6 365 Pomógł: 1114 Dołączył: 30.08.2006 Ostrzeżenie: (0%) |
Kod Deprecation Notice: The jqXHR.success(), jqXHR.error(), and jqXHR.complete() callbacks are removed as of jQuery 3.0. You can use jqXHR.done(), jqXHR.fail(), and jqXHR.always() instead.
-------------------- |
|
|
8.10.2018, 20:35:23
Post
#16
|
|
Grupa: Zarejestrowani Postów: 680 Pomógł: 28 Dołączył: 14.08.2014 Ostrzeżenie: (0%) |
@borabora , @viking a to nie jest tak , że success() , error() zostało zastąpione done() , fail()
@borabora możesz wyjaśnić o co chodziło czy robię "SPA" ? |
|
|
9.10.2018, 15:07:55
Post
#17
|
|
Grupa: Zarejestrowani Postów: 116 Pomógł: 33 Dołączył: 8.09.2014 Ostrzeżenie: (0%) |
SPA - single page application. Czyli "cały" front ładuje się raz, a następnie po logowaniu dostajesz obiekt (token, nick, avatar...). Wtedy zmieniasz stan z wylogowanego na zalogowany. Dłuższy temat...
|
|
|
10.10.2018, 20:12:46
Post
#18
|
|
Grupa: Zarejestrowani Postów: 680 Pomógł: 28 Dołączył: 14.08.2014 Ostrzeżenie: (0%) |
No dobra czyli w efekcie końcowym ma być tak:
ktoś rzucił by fachowym okiem i wyeliminował nie potrzebne fragmenty ? |
|
|
10.10.2018, 20:50:44
Post
#19
|
|
Grupa: Moderatorzy Postów: 36 459 Pomógł: 6297 Dołączył: 27.12.2004 |
Z takich pierdow ale az klujacych w oczy
nie: klass a: class Nie: SignIn a: signIn - trzymaj sie jednej konwencji a nie wolna amerykanka No i czemu jak jest blad to pojazujesz go dopiero po 3 sekundach? Po co bez sensu zwlekac? No i czemu jak jest ok to przekierowujesz dopiero po jednej sekundzie? przeciez nie robisz nic w miedzyczasie. I znowu pytanie: po co wiec zwlekac? -------------------- "Myśl, myśl, myśl..." - Kubuś Puchatek || "Manual, manual, manual..." - Kubuś Programista "Szukaj, szukaj, szukaj..." - Kubuś Odkrywca || "Debuguj, debuguj, debuguj..." - Kubuś Developer |
|
|
11.10.2018, 06:42:43
Post
#20
|
|
Grupa: Zarejestrowani Postów: 6 365 Pomógł: 1114 Dołączył: 30.08.2006 Ostrzeżenie: (0%) |
I nie zastosowałeś done/fail tylko usunięte succes/error. Dodatkowo bezsensowne przetwarzanie success switchem zamiast wysłanie odpowiedniego błędu. Dlaczego contentType: false?
https://prophp.pl/advice/show/17/jak_przygo...dan_xhr_json%3F -------------------- |
|
|
Wersja Lo-Fi | Aktualny czas: 4.05.2024 - 14:10 |