czy takie sposób jest dobry? Opcje

[john_doe]

Witajcie,
napisałem dziś logowanie. Napiszcie czy jest ok? Ogólnie działa ale, że działa to nie wszystko. Co byście zmienili? Co robię źle i bez sensu? czy idea jest oki? Czy idzie ten kod jakoś obejść i wejść mimo logowania na stronę?

poniżej kod z komentarzem

[PHP] pobierz, plaintext 
<?php
session_start();
        
    include ('db/conection.php');  // łącze się z db za pomocą PDO
    
    include('querries/confQuerries.php');  // tutaj plik z zapytaniami SQL
    
    
    $howMany = $dbh -> query($COUNT_LOGIN_USERS);     // tutaj zapytanie count(*) where $_POST['login']
        
    foreach( $howMany as $k ) 
    {
    
        $count = $k[0];
    
    }
    
    
    if ( $count == 1 )  // jeśli zapytanie zwróciło jeden wiersz
    {
                foreach ( $dbh -> query( $SELECT_USER ) as $row ) // wybieram wszystkie dane usera where $_POST['login']
                {
                    if ( $_POST['login'] == $row[1] && $_POST['pass'] == $row[2] )  // jeśli wpisany login odpowiada loginowi w bazie i wpisane haslo odpowiada temu z bazy przypisuje wynik zapytania do sesji
                    {
                        $_SESSION['id']       = $row[0];
                        $_SESSION['login']    = $row[1];
                        $_SESSION['pass']     = $row[2];
                        $_SESSION['name']     = $row[3];
                        $_SESSION['surname']  = $row[4];
                        $_SESSION['nickname'] = $row[5];
                        $_SESSION['level']    = $row[6];
                        $_SESSION['xlid']     = $row[7];
                        $_SESSION['region']   = $row[8];
                        $_SESSION['logIn']    = 1;
                        
                        $output = getdate();
                        
                        $loginAim = $output[year] . '-' . $output[mon] . '-' . $output[mday] . ', ' . $output[hours] . ':' . $output[minutes] . ':' . $output[seconds];
                        
                        include('querries/confQuerries.php');
                        
                        if ( $_SESSION['xlid'] != 5555555 ) // nie loguje ADMINA
                        {
                            $dbh -> query( $INSERT_LOGGED_USER ); // log kto i kiedy sie zalogował
                                
                            foreach( $dbh -> query( $SELECT_LAST_INSERT_ID_PER_USER ) as $row )
                            {
                                $_SESSION['sessionIdLogger'] = $row[0];
                            }
        
                        }    
                            
                        header( 'Location: http://' . $_SERVER['HTTP_HOST'] . rtrim(dirname($_SERVER['PHP_SELF']), '/') . '/' . mainView.'.'.php ); // jesli wszystko ok to kieruje na stronę jakąś tam dostępną po zalogowaniu poprawnym
                        exit;
                    }else 
                        {
                            header( 'Location: http://' . $_SERVER['HTTP_HOST'] . rtrim(dirname($_SERVER['PHP_SELF']), '/') . '/' . index.'.'.php ); // jeśli coś nie tak to kieruje na stronę logowania
                            exit;
                        }
                    
                }
    
    }else header( 'Location: http://' . $_SERVER['HTTP_HOST'] . rtrim(dirname($_SERVER['PHP_SELF']), '/') . '/' . index.'..php );
    
    
?>
[PHP] pobierz, plaintext 

[no-scared]

tutaj zapytanie count(*) where $_POST['login']

mozesz dac cale to zapytanie ?

[john_doe]

[PHP] pobierz, plaintext 
<?php
$COUNT_LOGIN_USERS = '
            SELECT COUNT(*)
                FROM dbo.kcusers 
              WHERE user_login = '."'". $_POST['login']."'";
        
 
 
$SELECT_USER = '
            SELECT user_id, user_login, user_pass, user_name, user_surname, user_nickname, user_level, user_xlid, user_region
                FROM dbo.kcusers 
            WHERE user_login = '."'". $_POST['login']."'";
?>
[PHP] pobierz, plaintext 

Ten post edytował john_doe 26.05.2009, 14:52:25

[pyro]

Podatne na SQL Injection. Możliwość obejścia logowania bez znajomosci danych

[bim2]

[PHP] pobierz, plaintext 
<?php
$dbh -> query( $SELECT_USER )
?>
[PHP] pobierz, plaintext 

Jak już posiadasz jakąś klasę to zrób może getRow()? Który zwróci arraya jako jeden wynik $wynik['kolumna']

[john_doe]

pyro jak taki skrypt można obejść możesz napisać. jakiś przykład? to ważny fundament każdej aplikacji

gdy wpiszę np w pole login or 1=1 i hasło blablabla nic się nie dzieje

Ten post edytował john_doe 26.05.2009, 15:15:22

[bim2]

wpisz

' OR '1'='1

Ten post edytował bim2 26.05.2009, 16:34:17

[Fifi209]

od czego masz prepare, bindValue, bindParam ?



Poczytaj w manualu

[Crozin]

Po co najpierw pobierasz ilość rekordów dla login = xxx, a dopiero potem dane dla login = xxx? Odrazu pobierz wszystkie dane - jak nic nie zwrócić, to znaczy, że takiego użytkownika nie ma.
Weź sobie utwórz jakąś stałą, która będzie zawierała adres strony czy coś takiego, bo każdorazowe klepanie w header() tego, to jakaś masakra. Dodatkowo dobrze by było, żebyś po header() dodał:

[PHP] pobierz, plaintext 
<?php
die('Przekierowanie na adres: TUTAJ ADRES JAKO LINK');
?>
[PHP] pobierz, plaintext 

Obiekt spod $dbh mógłby obsługiwać metody getRows() - zwraca wiele rekodrów, getRow() - zwraca jeden, getField() - zwraca pierwszą kolumnę z pierwszego rekordu. Albo lepiej przejdź na PDO.
Brak filtracji danych.
Nie stosuj numerycznych indeksów w tablicy zwracanej przez bazę danych. Raz, że jest to kompletnie niezrozumiałe, dwa, że w przypadku zmiany kolejności kolumn w bazie skrypt się sypie.
Chyba łatwiej będzie:

[PHP] pobierz, plaintext 
<?php
$loginAim = date('Y-m-d H:i:s');
?>
[PHP] pobierz, plaintext 

[john_doe]

wpisałem w pole login ' OR '1'='1 a w pole haslo -- by zakometować resztę zapytania

i dostałem komunikat


Warning: Invalid argument supplied for foreach() in C:\wamp\www\..........................php on line 11

Warning: Cannot modify header information - headers already sent by (output started at C:\wamp\www\...........................................php:11) in C:\wamp\www\.........................php on line 63

czy wystarczy gdy w zapytaniu SQL dodam przed $_POST htmlspecialchars lub mysql_real_escape_string
w 1szej kolejności chcę ustrzec się przed SQL Injection.

dzięki za odpowiedzi. Otwieracie mi oczy <gitara>

i jeszcze jedno jak w takim razie zapakować wynik zapytania do sesji skoro robię to jak chłopu na wsi?

Ten post edytował john_doe 26.05.2009, 22:50:38

[erix]

dzięki za odpowiedzi. Otwieracie mi oczy <gitara>

A widziałeś czasem przyklejone wątki?

i jeszcze jedno jak w takim razie zapakować wynik zapytania do sesji skoro robię to jak chłopu na wsi?

Wyciągasz tablicę i wpychasz do sesji - nie pakuj do niej bezpośrednio zasobu wyniku.

[Fifi209]

Obiekt spod $dbh mógłby obsługiwać metody getRows() - zwraca wiele rekodrów, getRow() - zwraca jeden, getField() - zwraca pierwszą kolumnę z pierwszego rekordu. Albo lepiej przejdź na PDO.
Brak filtracji danych.

Przecież pisał, że PDO używa. Co do filtracji ja już o tym pisałem.