[PHP][MySQL] Logowanie oparte o sesje. Opcje

[sebekzosw]

Witam!
Pracuję nad stroną, która jest oparta o MySQL. Mam zamiar zrobić logowanie, które będzie oparte o sesje. Logowanie jest najważniejsze więc istotne jest dla mnie jego bezpieczeństwo:

[PHP] pobierz, plaintext 
<?php
if (isset($_POST['login'])) {
    $user_pass = md5($_POST['user_pass']);
    $user_name = preg_replace(array("/=/","/#/","/sORs/"), "", stripinput($_POST['user_name']));
 
    if(empty($_POST['user_name'])) {
        echo "Wpisz login";
    } elseif(empty($_POST['user_pass'])) {
        echo "Wpisz hasło";
    } elseif(!dbcount("(id_uzytkownika)", "uzytkownicy", "nick_uzytkownika='".$user_name."' AND haslo_uzytkownika='".md5($user_pass)."'")) {
        echo "Nieprawidłowy login lub hasło";
    } else {
        $login = $_POST['user_name'];
         session_start();
        session_register("login");
    }
}
?>
[PHP] pobierz, plaintext 

To już gotowy skrypt PHP, który wykonuje logowanie. Co sądzicie o tym logowaniu? Czy jest ono bezpieczne? I jak można go zabezpieczyć bardziej? Z góry dzięki za pomoc.

Pozdrawiam, Sebekzosw

[akurczyk]

Ja robię bez md5() i session_register() ale i tak te skrypty są bezpieczne ponieważ sesje to pliki po stronie serwera do których istnieje odwołanie w cookie, a jeśli ktoś przechwyci cookie i będzie miał inny system, przeglądarkę itp. to sesja wygasa.

[sebekzosw]

A czy można to logowanie zabezpieczyć bardziej? Proszę też o opinie innych...

[akurczyk]

Można napisać własną równie bezpieczną implementacje sesji, niedawno było na forum, ale bardziej zabezpieczyć chyba się nie da.
I jeszcze jedno polecał bym ci to przerobić na standard php5 (w obecnym standardzie php6 może mieć problemy):

[PHP] pobierz, plaintext 
<?php
session_start();
mysql_connect(&#092;"localhost\", \"login\", \"haslo\");
mysql_select_db(&#092;"baza\");
mysql_query(&#092;"SET NAMES 'utf8'\");
if(isset($_POST['zaloguj_sie']) && !empty($_POST['login']) && !empty($_POST['haslo'])) {
    $wykonaj_zapytanie = mysql_query(&#092;"SELECT * FROM uzytkownicy WHERE login='\".addslashes($_POST['login']).\"' AND haslo='\".addslashes($_POST['haslo']).\"'\");
    if(mysql_num_rows($wykonaj_zapytanie) == 1) {
        $wiersz = mysql_fetch_array($wykonaj_zapytanie);
        $_SESSION['zalogowany'] = &#092;"tak\";
        $_SESSION['administrator'] = $wynik['administrator'];
        $_SESSION['id'] = $wiersz['id'];
        $_SESSION['login'] = $wiersz['login'];
        $_SESSION['haslo'] = $wiersz['haslo'];
        $_SESSION['email'] = $wiersz['email'];
        $_SESSION['imie_i_nazwisko'] = $wiersz['imie_i_nazwisko'];
    }
}
if(isset($_GET['przekierowanie'])) {
    header(&#092;"Locatio: {$_GET['przekierowanie']}\");
} else {
    header(&#092;"Locatio: index.php\");
}
?>
[PHP] pobierz, plaintext 

Ten post edytował akurczyk 28.09.2008, 09:35:57

[marcio]

Ja robię bez md5() i session_register() ale i tak te skrypty są bezpieczne ponieważ sesje to pliki po stronie serwera

To bardzo zle robisz powiem ci glupie 2 ptrzyklady jakie mi przychodza do glowy:
1.Wystarczy ze ktos znajdzie XSS na twojej stronie
2.Ktos znajdzie Sql inj. i juz ma login i haslo bez kombinowania w jakies teczowe tablice

Po 3 session_register() od php5 jak dobrze wiem nie jest potrzebne php5 ma wbudowany automatyczny system ktory dziala na takiej zasadzie a po 4 to w pierwszym kodzie nawet nie filtrujesz dobrze danych w zapytaniu sql

Potem z tego co widze to masz funkcje dbcount() ktora hmm.... wydaje mi sie ze dziala za pomoca mysql_num_rows() jesli tak to zle ja osobisciw wole sprawdzac dane za pomoca mysql_fetch_assoc() poniewaz jesli zle filtrujesz dane to wpisujac ' or 1/* mysql_num_rows() moze przepuscic i moze cie zalogowac

POtem bezpieczenstwo logowania zalezy tez od tego jak zabezpieczasz podstrony.

P.S to tylko moje zdanie moge sie mylic.

Ten post edytował marcio 28.09.2008, 09:49:09

[Axexis]

[PHP] pobierz, plaintext 
<?php
if (isset($_POST['login'])) {
    $user_pass = md5($_POST['user_pass']);
    $user_name = preg_replace(array("/=/","/#/","/sORs/"), "", stripinput($_POST['user_name']));
 
    if(empty($_POST['user_name'])) {
        echo "Wpisz login";
    } elseif(empty($_POST['user_pass'])) {
        echo "Wpisz hasło";
    } elseif(!dbcount("(id_uzytkownika)", "uzytkownicy", "nick_uzytkownika='".$user_name."' AND haslo_uzytkownika='".md5($user_pass)."'")) {
        echo "Nieprawidłowy login lub hasło";
    } else {
        $login = $_POST['user_name'];
         session_start();
        session_register("login");
    }
}
?>
[PHP] pobierz, plaintext 

Po pierwsze nie 'pójdzie' Ci to, bo dwa razy hashujesz hasło.
Po drugie, zamiast tych wszystkich filtrów, daj:
$user_pass = mysql_real_escape_string($_POST['user_pass']);
$user_name = mysql_real_escape_string($_POST['user_name']);

oprócz tego, do sesji logowania dodaj

[PHP] pobierz, plaintext 
<?php
$_SESSION['user_ip'] = $_SERVER['REMOTE_ADDR'];
?>
[PHP] pobierz, plaintext 

i sprawdzaj je przy każdej zabezpieczonej stronie. Uniemożliwi to przejęcie przez 'hackera' sesji (o ile nie ma tego samego IP co ofiara ).
Przepisany kod logowania:

[PHP] pobierz, plaintext 
<?php
session_start();
if(!isset($_POST['user_pass']) || !isset($_POST['user_name'])) die("Musisz wypelnic wszystkie pola!");
 
$user = mysql_real_escape_string($_POST['user_name']);
$pass = mysql_real_escape_string(md5($_POST['user_pass']));
 
if(!dbcount("(id_uzytkownika)", "uzytkownicy", "nick_uzytkownika=\"$user\" AND haslo_uzytkownika=\"$pass\""))
{
echo "Nie prawidlowa nazwa uzytkownika lub haslo";
}
else 
{
$_SESSION['login'] = $user;
$_SESSION['ip'] = $_SERVER['REMOTE_ADDR'];
}
?>
[PHP] pobierz, plaintext 

Nawiasem, session_start() wstawia sie zawsze na poczatku pliku, inaczej Ci wywali bledy (przy E_ALL).

Pozdrawiam

Ten post edytował Axexis 28.09.2008, 16:00:22

[TrevorGryffits]

Ja tylko jeszcze dodam, że nie warto robić mysql_real_escape_string(md5(blablabla)). Wystarczy samo md5.