Panel logowania sesje, bezpieczeństwo sesji itp. Opcje

[marcus753]

Witam jestem początkującym programistą php i powoli zaczynam planować Panel logowania zależy mi aby był dość bezpieczny dlatego zastanawiam się słyszałem że trzymanie danych w sesjach jest dość niebezpieczne i grozi włamaniem na strone dlatego zastanawiam sie czy jest inny sposób albo jak zabezpieczyć sesje tak aby można w nich było trzymać poufne dane

pozdrawiam i z niecierpliwością czekam na odpowiedź
za pomoc z góry dziękuje

[erix]

Znowu...?

A użyłeś chociaż raz wyszukiwarki?

[marcus753]

tak szukałem informacji na temat paneli logowania i sesji ale znalazłem tylko jakieś bzdety albo gotowe panele...
moja znajomość techniczna pozwala mi na zrobienie panelu logowania ale zastanawiam się co umieścić w sesjach ?
na samym początku miałem taki pomysł w pliku index.php wpisujemy hasło i login w pliku logowanie.php sprawdzamy czy login jest w bazie i czy hasło sie zgadza jeśli tak to do sesji przypisujemy wartość np. 5 i przechodzimy do pliku zabezpieczone.php tutaj sprawdzamy wartość sesji jeśli to 5 to wyświetlamy strone ale z tego co przeczytałem w google taki sposób chyba nie jest bezpieczny i zastanawiam się nad alternatywą kombinuje już pare dni nad tym i powoli zaczynam się poddawać ;/

[Kshyhoo]

Ja poznawałem sesje na tym artykule. A bezpieczeństwo zależy, jak z tego skorzystasz...

[marcio]

tak szukałem informacji na temat paneli logowania i sesji ale znalazłem tylko jakieś bzdety albo gotowe panele...
moja znajomość techniczna pozwala mi na zrobienie panelu logowania ale zastanawiam się co umieścić w sesjach ?
na samym początku miałem taki pomysł w pliku index.php wpisujemy hasło i login w pliku logowanie.php sprawdzamy czy login jest w bazie i czy hasło sie zgadza jeśli tak to do sesji przypisujemy wartość np. 5 i przechodzimy do pliku zabezpieczone.php tutaj sprawdzamy wartość sesji jeśli to 5 to wyświetlamy strone ale z tego co przeczytałem w google taki sposób chyba nie jest bezpieczny i zastanawiam się nad alternatywą kombinuje już pare dni nad tym i powoli zaczynam się poddawać ;/

Co ty za glupoty piszesz znalazles tylko jakies bzdety albo gotowe panele a co innego chcialbys znalesc jak szukac nie potrafisz:
http://forum.php.pl/index.php?act=Search&a...te=%2Blogowanie

Masz ponad 50 stron tematow bys tak ruszyl dupe poszukal pokazal co wykodziles powiedzial w czym masz dylemat to bysmy ci pomogli jest chyba 10 tematow dziennie na temat sesji,logowania,rejestracji i powoli sie to robi monotonne i nudne.

Takze wez poszukaj i nie pisz glupot tam masz wszystko opisane razem z zabezpieczeniami jest zreszta pelno klas ktora widnieja na lamach strony ostatnio nawet ja jedna podawalem by zobaczyc czy jest good.

Ten post edytował marcio 8.06.2009, 12:49:22

[Maveral]

Jeśli chodzi o logowanie, to wystarczą w zasadzie takie standardowe zabezpieczenia, które znajdziesz w skryptach na tym forum. W tej kwestii nie wymyślisz już niczego, czego nie było wcześniej, więc szukaj w odpowiednich tematach

[marcus753]

dzięki panowie strona podana przez Kshyhoo rozjaśniła troche moją znajomość sesji mam jeszcze takie małe pytanie rozumiem że jest możliwość zobaczenia zawartości sesji natomiast dlatego nie powinno się tak umieszczać haseł itp. ale czy jest możliwość zmiany wartości sesji z zewnątrz ?

[marcio]

Nom bawiac sie chodzby livehhtpheaders da rade sa tez inne sniffery/spoofery napewno.

Co do tego arta to go nawet nie czytaj spojrz na date 2002 rok uzywane php4 i teraz sesje inaczej dzialala sa bezpieczniejsze mozesz co najzyjwej poczytac z czym to sie je i tyle.

[marcus753]

no to zabieram się za analizowanie informacji na tym forum może coś znajde eh ;/

[marcio]

no to zabieram się za analizowanie informacji na tym forum może coś znajde eh ;/

Widac jakie masz checi nie ma to jak ktos daje gotowe na tacy prawda??

Niestety programowanie to takie hobby gdzie trzeba radzic sobie samemu jakos przynajmniej w dostatecznym stopniu i ruszac czesto makuwa tez trzeba.

Ogolnie jest to najwieksze forum o php w PL takze wiesz.....

Ten post edytował marcio 8.06.2009, 13:49:49

[marcus753]

ja dopiero ucze się o php widziałem posty gdzie ludzie poprostu pytali sie o jakiś kurs na temat sesji (na tym forum) i dostawali strony z kursami (gotowe na tacy) a ja pytając się o jakieś metody zabezpieczenia sesji czy też projektowania panelu logowania tak aby w sesjach nie były umieszczane kluczowe dane dostaje po głowie że mi się nie chce szukać chyba napisze skrypt tak jak myślałem wcześniej i się zapytam o metody zabezpieczenia go może wtedy ktoś mi pomoże...

[marcio]

a ja pytając się o jakieś metody zabezpieczenia sesji czy też projektowania panelu logowania tak aby w sesjach nie były umieszczane kluczowe dane dostaje po głowie że mi się nie chce szukać chyba napisze skrypt tak jak myślałem wcześniej i się zapytam o metody zabezpieczenia go może wtedy ktoś mi pomoże...

Na to samo wychodzi w tych kursach zreszta sa opisane podstawowe zabezpieczenia to raz.

A dwa jak napiszesz to chetnie pomoge.

Trzy jak przy 60 stronach na temat logowania znalazles tylko linki do kursow to gratuluje......

[marcus753]

marcio prosze bardzo trzymam za słowo że teraz mi pomożesz

strona.html

[PHP] pobierz, plaintext 
<?php
session_start();
?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.1//EN"
  "http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd">
 
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="pl" lang="pl">
    
    <head>
 
    <meta http-equiv="Content-Type" content="text/html; charset=utf-8"/>
<title>strona.php</title>
    
    </head>
 
    <body>
 
  
    <form action="logowanie.php" method="POST">
    
    Login: <input name="login" /><br>
    Hasło: <input name="haslo" /><br>
    
    <input type="submit" value="wyślij" />
    
    </form>
 
 
    </body>
</html>
[PHP] pobierz, plaintext 

logowanie.php

[PHP] pobierz, plaintext 
<?php
session_start();
 
$polaczenie = @mysql_connect('localhost', 'uzytkownik', 'haslo') 
or die('Brak połączenia z serwerem MySQL.<br />Błąd: '.mysql_error()); 
echo "Udało się połączyć z serwerem!<br />"; 
 
$baza = @mysql_select_db('gebala_uzytkownicy', $polaczenie) 
 
or die('Nie mogę połączyć się z bazą danych<br />Błąd: '.mysql_error()); 
 
echo "Udało się połączyć z bazą dancych!"; 
 
$zapytanie='SELECT login,haslo FROM uzytkownicy';
$wynik= mysql_query($zapytanie,$polaczenie);    
    
    
while ($rekord = mysql_fetch_assoc($wynik)){
 
    $login1 = $rekord['login'];
    $haslo1 = $rekord['haslo'];
    $login2 = $_POST['login'];
    $haslo2 = $_POST['haslo'];
 
 
    if (($login1 === $login2) AND ($haslo1 === $haslo2)){
 
    $_SESSION['user'] ="zalogowany";}}
 
 
 
mysql_close($polaczenie); 
 
echo"<META HTTP-EQUIV=Refresh CONTENT=\"0; URL=zabezpieczona.php\">";
?>
[PHP] pobierz, plaintext 

zabezpieczona.php

[PHP] pobierz, plaintext 
<?php
session_start();
?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.1//EN"
  "http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd">
 
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="pl" lang="pl">
    
    <head>
 
    <meta http-equiv="Content-Type" content="text/html; charset=utf-8"/>
<title></title>
    
    </head>
 
    <body>
 
    
    <?php 
if     (($_SESSION['user']) === "zalogowany"){
    echo"jesteś zalogowany !";
}
    else{
echo"nie autoryzowany dostęp !";
}
?>
 
 
 
    </body>
</html>
[PHP] pobierz, plaintext 

Prosty skrypt logowania jak zrobić aby był bezpieczniejszy ? w tym przypadku jeśli ktoś zdoła zmienić wartość sesji user na zalogowany ma praktycznie nie ograniczony dostęp do "ukrytej" części strony...

[marcio]

To zamien na:

[PHP] pobierz, plaintext 
<?php
$zapytanie='SELECT login,haslo FROM uzytkownicy';
$wynik= mysql_query($zapytanie,$polaczenie);    
    
    
while ($rekord = mysql_fetch_assoc($wynik)){
 
    $login1 = $rekord['login'];
    $haslo1 = $rekord['haslo'];
    $login2 = $_POST['login'];
    $haslo2 = $_POST['haslo'];
 
 
    if (($login1 === $login2) AND ($haslo1 === $haslo2)){
 
    $_SESSION['user'] ="zalogowany";}}
?>
[PHP] pobierz, plaintext 

Na to:

[PHP] pobierz, plaintext 
<?php
$zapytanie='SELECT login,haslo FROM uzytkownicy where login = "'.mysql_real_escape_string($_POST['login']).'" limit 1';
$wynik= mysql_query($zapytanie,$polaczenie);    
$tab = mysql_fetch_assoc($wynik);
 
 
    if(($_POST['login'] === $tab['login']) && ($_POST['haslo'] === $tab['haslo'])) $_SESSION['user'] ="zalogowany";
 
  else echo('Podano zle dane<Br>');
?>
[PHP] pobierz, plaintext 

Bo byla zbedna petla while() i do tego glupio dane sprawdzales.

Potem w sesji nigdy nie trzymaj poufnych danych jak haslo np.
Haslo w bazie trzymaj zakodowane za pomoca md5()/sha1() polecam to drugie i przy porownywaniu dajesz:

[PHP] pobierz, plaintext 
<?php
if(($_POST['login'] === $tab['login']) && (md5($_POST['haslo']) === $tab['haslo'])) $_SESSION['user'] ="zalogowany";
?>
[PHP] pobierz, plaintext 

A haslo w bazie danych jest zakodowane za pomoca md5().

Potem dawaj sobie zawsze sesje za jakims unikalnym kodem dla kazdego user'a u sprawdzaj czy kod z sesji zgadza sie z tym od user'a wtedy nawet jak bedzie chcial kombinowac z sesja to nic nie zdziala bo bedzie musial podac kod uzytkownika ktory jest losowy np taki:

[PHP] pobierz, plaintext 
<?php
$code = substr(md5(time()), 10, 20);
?>
[PHP] pobierz, plaintext 

I przy dodawaniu user'a do kulumny code wsadzasz wygenerowany ciag a przy logowaniu tworzysz dodatkowa sesje z tym ciagiem ktory wyciagniesz z bazy.

A na stronie zabezpieczona.php robisz taK:

[PHP] pobierz, plaintext 
<?php
$zap = mysql_query('SELECT code FROM uzytkownicy where code = "'.mysql_real_escape_string($_SESSION['sesja_z_kodem']).'"');
 
if(mysql_num_rows($zap) > 0 && $_SESSION['user'] == 'zalogowany') {
 
//zalogowany
 
}
 
else echo('Cos jest zle ');
?>
[PHP] pobierz, plaintext 

Prosty skrypt logowania jak zrobić aby był bezpieczniejszy ? w tym przypadku jeśli ktoś zdoła zmienić wartość sesji user na zalogowany ma praktycznie nie ograniczony dostęp do "ukrytej" części strony...

Jak zrobisz tak jak ci powiedzialem to bez sql inj. chyba ze ty mu podasz code user'a nic nie zdziala.

Oczywiscie poczytaj jeszcze od session fixation,hijacker etc ale mysle ze to zbedne bawienie sie sprawdzac ip,agent'a i referer'a

Ten post edytował marcio 8.06.2009, 16:49:19

[marcus753]

rozumiem że chciałeś abym ja sam trochę się pomęczył niż dostał gotowe rozwiązanie na tacy ale czy nie można było tak od razu ?
Oczywiście wielkie dzięki za pomoc i poświęcony czas

Studiuję ten twój kod i zastanawiam się nad nim on jest automatycznie generowany podczas rejestracji użytkownika i zapisywany do bazy czy podczas logowania użytkownika ?
i rozumiem że po udanym zalogowaniu wczytujemy ten kod do zmiennej i potem już na zabezpieczonej stronie go porównujemy czy się zgadza z tym w bazie dobrze rozumiem ?
a jeżeli tak to czy nie ma możliwości zobaczenia, przechwycenia go gdy znajduje się w sesji ? hmm

[marcio]

Studiuję ten twój kod i zastanawiam się nad nim on jest automatycznie generowany podczas rejestracji użytkownika i zapisywany do bazy czy podczas logowania użytkownika ?
i rozumiem że po udanym zalogowaniu wczytujemy ten kod do zmiennej i potem już na zabezpieczonej stronie go porównujemy czy się zgadza z tym w bazie dobrze rozumiem ?
a jeżeli tak to czy nie ma możliwości zobaczenia, przechwycenia go gdy znajduje się w sesji ? hmm

Ja to robie 1 przy rejestracji poniewaz nie mam danych z pentagonu na stronie jednak jesli chcesz miec wieksze bezpieczenstwo to dodaj pierwwszy kod user'owi podczac rejestracji a przy kazdym logowaniu jesli dane sie zgadzaja robisz update z nowym kodem.

Po zalogowaniu kod wczytujesz do sesji kodujac go np glupim rot13 wtedy gdy ktos znajdzie nawet xss'a na twojej stronie moze sie nie domysli ze kod dodatkowo jest kodowany za pomoca rot13 rozumiesz a jak nie to trzymaj w jawnej postaci tylko staraj sie nie miec xss/csrf na stronie i wtedy bedzie good.
POtem kod z sesji porownujesz z tym w bazie.

Mozliwosc przechwycenia ma ale jesli zmieniasz kod user'a za kazdym logowaniem to h4xor bedzie sie cieszyl sesja do wylogowania i poten lipa do tego jesli masz mozliwsco zmiany hasla dla zalogowanego user'a to przez zmiana hasla pytaj o stare wtedy napastnik naprawde nic nie zdziala, nom prawie nic .

Jesli bedziesz robil to raz przy rejestracji wtedy jesli uzyska kod user'a to jest lipa .

[bełdzio]

http://www.beldzio.com/bezpieczenstwo-mechanizmu-sesji

[zientek18]

Bardzo ciekawy temat, przeczytałem wszystko.
Pozwolę się dołączyć do tematu.
Właśnie próbuję stworzyć przycisk wylogowania i zrobiłem to tak:

dodatkowa linijka w pliku zabezpieczony.php :

[PHP] pobierz, plaintext 
<?php
echo '<a href="wyloguj.php">wyloguj</a>';
?>
[PHP] pobierz, plaintext 

cala zawartosc pliku wyloguj.php:

[PHP] pobierz, plaintext 
<?php
if ($_SESSION['user'] == "zalogowany") {
session_destroy();
}
echo 'wylogowales sie';
?>
[PHP] pobierz, plaintext 

Niestety nie działa, wyświetla się napis, że zostałeś wylogowany, ale niestety po wejściu w plik zabezpieczony.php wszystko jest widoczne.

Czy ktoś może mnie nakierować ?

[Robert007]

sprawdź czy warunek na wylogowanie jest dobry czyli musisz wrzucić echo pod warunkiem a jak się nie wyświetli nick to znaczy że warunek masz źle

[bełdzio]

try

[PHP] pobierz, plaintext 
<?php
session_destroy( );
$_SESSION = array( );
setcookie ( session_name(), '', time( ) - 3600 );
?>
[PHP] pobierz, plaintext