[PHP]przechwytywanie sesji - skrypt logowania Opcje

[bialko0019]

Witam. Tworzę tak dla siebie, dla nauki mozna tak powiedzieć skrypt logowania.

No dobra, zrobiłem formularz. (oczywiscie juz tebala w sql zrobiona i zalozony uzytkownik);

[HTML] pobierz, plaintext 
<form action="login.php" method="post">
<br>
<b>Login</b><br>
<input type="text" name="login" style="border : 1px solid #499cf8;"><br>
<b>Hasło</b><br>
<input type="password" name="haslo" style="border : 1px solid #499cf8;">
<br><input type="submit" value="Zaloguj" style="
color : #35424d; font-family : verdana; font-size : 11px; border : 1px solid #e2e7eb;">
</form>
[HTML] pobierz, plaintext 

i teraz przejdźmy do pliku login.php

[PHP] pobierz, plaintext 
<?php
 
$login = $_POST['login'];
$haslo = $_POST['haslo'];
$haslo_md5 = md5($haslo);
 
 
if(empty($login)){
echo "<br>Wpisz login";
}
else {
 
if(empty($haslo_md5))
{
echo "<br>Wpisz hasło !";
}
else {
 
$config = "config.php";
$otwieram = fopen($config, r);
$czytaj = fread($otwieram, 900);
 
list($serwer, $uzytkownik, $haslo_baza, $baza_danych) = explode("|", $czytaj);
 
fclose($otwieram);
 
$polaczenie = mysql_connect($serwer, $uzytkownik, $haslo_baza) or die('Nie mogę się połączyć z serwerem. Sprawdź jeszcze raz poprawność pól <b>serwer baz danych, użytkownik oraz hasło do bazy</b>. Sprawdź czy nie masz włączonego Caps Locka.');
$db = mysql_select_db($baza_danych) or die('Nie mogę się połączyć z podaną bazą. Sprawdź poprawność pola <b>baza danych</b>.');
 
$zapytanie = "SELECT * FROM `users` WHERE `login` LIKE '$login' AND `haslo` LIKE '$haslo_md5'";
$query = mysql_query($zapytanie) or die('Zapytanie nie może dojść do skutku, bo : <b>' .mysql_error(). ' </b>');
 
$ile = mysql_num_rows($query);
 
if($ile > 0){
echo "<br>Jesteś poprawnie zalogowany. <br><a href='admin.php'>Kliknij, aby przenieść się do Panelu.</a><br><br><i>Aby logowanie chodziło poprawnie, potrzebna jest obsługa COOKIE.";
session_start();
$session_id = session_id();
$_SESSION['session_id'] = $session_id;
$_SERVER['REMOTE_ADDR'] = $ip;
$_SESSION['ip'] = $ip;
$_SESSION['auth'] = 1;
$_SESSION['login'] = $login;
 
}
else {
echo "<br>Spróbuj jeszcze raz.";
}
 
 
}
 
}
 
 
?>
[PHP] pobierz, plaintext 

Oczywiście config.php jest zabezpieczony przez htaccess ( cba i boo.pl mają ) przez deny from all.


1. Odbieramy z formularza dane.
2. Kodujemy hasło md5().
3. Łączymy się z bazą.
4. Sprawdzamy czy istnieje taki użytkownik i czy hasło jest poprawne.
a) Jeżeli tak, wyświetlamy komunikat.
Jeżeli nie, wyświetlamy komunikat.

Jeżeli wszystko jest poprawnie, wyświetla się komunikat, by przejść na stronę admin.php .
No dobra jesteśmy. I tutaj zaczynają się schody, BO :

[PHP] pobierz, plaintext 
<?php
 
session_start();
$session_id_n = session_id();
$host = $_SERVER['HTTP_HOST'];
$session_id = $_SESSION['session_id'];
$ip_n = $_SERVER['REMOTE_ADDR'];
$czy = $_SESSION['auth'];
$login = $_SESSION['login'];
 
 
$katalog = dirname($_SERVER['PHP_SELF']);
$heander = "http://$host$katalog/panel.php";
 
 
if($session_id_n == $session_id){
if($czy == 1){
echo "<span class='zalogowany'><br>  Witaj <b>$login</b>, jesteś poprawnie zalogowany. Pamiętaj, by zawsze po skończeniu pracy się <b><a href='wyloguj.php'>wylogować</a></b> !</span>";
}
else  {
header("location : $heander");
}
}
else {
header("location : $heander");
}
 
 
 
?>
[PHP] pobierz, plaintext 

1. zaczynamy sesję.
2. Robimy warunek, że gdy zmienna $czy = 1 to poprawna sesja, jeżeli nie przekierowywujemy location zeby sie zalogować.

Jednak jest tutaj problem, ponieważ na jednym serwerze gdy bez logowania przejdziemy do pliku admin.php to normalnie przekierowywuje jezeli sie nikt wczesniej nie zalogował jeżeli zalogował to normalnie plik sie wyświetla. A na drugim serwerze obojętnie czy się ktoś zlogował, czy nie i tak normalnie się wyświetla Panel użytkownika...

I moje pytania ;
1. Dlaczego na jednym serwerze działa ( działa na boo.pl, nie działa na cba.pl - na innych nie próbowałem ) ze przekierowywyuje nas zeby sie zalogować a na drugim nie ?
2. To jest pierwszy mój skrypt, więc jest pewnie baardzo dużo błędów, co w nim poprawić by był bezpieczniejszy ? Bo tak naprawdę tylko jest zakodowanie hasła jak przy rejestracji i nic więcej. i co jest jeszzcze w takim skrypcie nie zbędne ?

Liczę na jakieś wskazówki

Pozdrawiam

[sowiq]

Zobaczyłem początek listingu i dalej już nawet nie czytałem.

1. podatność na SqlInjection

[PHP] pobierz, plaintext 
<?php
$login = $_POST['login'];
$haslo = $_POST['haslo'];
?>
[PHP] pobierz, plaintext 

Zainteresuj się mysql_real_escape_string" title="Zobacz w manualu PHP" target="_manual lub mysql_escape_string" title="Zobacz w manualu PHP" target="_manual oraz tematem o bezpieczeństwie

2.

[PHP] pobierz, plaintext 
<?php
if(empty($haslo_md5))
?>
[PHP] pobierz, plaintext 

Ten warunek nigdy nie będzie spełniony, bo md5 z pustego ciągu to d41d8cd98f00b204e9800998ecf8427e.
Sprawdź:

[PHP] pobierz, plaintext 
<?php
echo md5('');
?>
[PHP] pobierz, plaintext 

3. A to już zupełnie jakiś kosmos... Skoro wczytujesz plik PHP, to nie łatwiej zadeklarować w nim zmienne, a plik include" title="Zobacz w manualu PHP" target="_manual'ować / require" title="Zobacz w manualu PHP" target="_manual'ować?

[PHP] pobierz, plaintext 
<?php
$config = "config.php";
$otwieram = fopen($config, r);
$czytaj = fread($otwieram, 900);
?>
[PHP] pobierz, plaintext 

Ten post edytował sowiq 9.07.2009, 11:09:08

[Darti]

pierwsze co znalazłem:

// jak wczesniej - md5() zawsze nie bedzie puste

[PHP] pobierz, plaintext 
<?php
$zapytanie = "SELECT * FROM `users` WHERE `login` LIKE '$login' AND `haslo` LIKE '$haslo_md5'";
?>
[PHP] pobierz, plaintext 

zmien na

[PHP] pobierz, plaintext 
<?php
$zapytanie = "SELECT * FROM `users` WHERE `login`='$login' AND `haslo` = '$haslo_md5'"; // będzie szybciej szukało i się nie pomyli dwóch użytkowników
?>
[PHP] pobierz, plaintext 

Ten post edytował Darti 9.07.2009, 13:14:53

[matino]

Zobaczyłem początek listingu i dalej już nawet nie czytałem.

1. podatność na SqlInjection

[PHP] pobierz, plaintext 
<?php
$login = $_POST['login'];
$haslo = $_POST['haslo'];
?>
[PHP] pobierz, plaintext 

Skoro hasło i tak jest później hashowane, to chyba nie trzeba używać mysql_real_escape_string?

[Spawnm]

a $_POST['login']; też?

@Darti -> używaj bbcode

[bialko0019]

Skoro hasło i tak jest później hashowane, to chyba nie trzeba używać mysql_real_escape_string?

no właśnie ?

Jeżeli jest cały string hashowany, to każdy znak, nawet i ', który po konwersji ma wynik 024c94d6e03b6f67a86b952b914816c7 to po wpisaniu hasla np. ' -- wychodzi 53ee8202ef234d580fc1c60b89df175f ...

[sowiq]

Hashowania loginu nie widzę... Zresztą ~Spawnm napisał o tym wyżej.

[SQL] pobierz, plaintext 
WHERE `login` LIKE '$login'
[SQL] pobierz, plaintext 

[bialko0019]

aa no rozumiem, to loginu też zrobię kodowanie.

Czyli jak jest również zakodowane hasło jak i login, to chyba używania funkcji mysq_ascape_string() nie ma sensu bo i tak każdy znak jaki zostanie wpisany zostanie zakodowany i będzie złe hasło lub login ?

[Spawnm]

sensu to nie ma dawanie loginu w md5

[sowiq]

Czyli jak jest również zakodowane hasło jak i login, to chyba używania funkcji mysq_ascape_string() nie ma sensu

Sensu to nie ma kodowanie loginu.

Ale tak - masz rację. Nie musisz escape'ować czegoś, co później hash'ujesz.

[edit]
Spawnm o ułamki sekund szybszy

Ten post edytował sowiq 9.07.2009, 13:28:36

[bialko0019]

Sensu to nie ma kodowanie loginu.

dlaczego ? Przecież, każdy kto wpisuje login i haslo , do bazy jest zapisywany w postaci md5.
Poźniej przy logowaniu wpisuje normalny(nie zakodowany) login i haslo, skrypt koduje i sprawdza czy zakodowane stringi sa takie same ?

[sowiq]

No tak. Ale logicznie pomyśl - jak będziesz np. wyświetlał adminowi listę userów? Jeśli będziesz miał chociażby forum, to zamiast dopisywać do każdego posta w bazie ID usera, będziesz musiał dopisywać również login. A jak ktoś będzie chciał z tego forum pozbierać sobie loginy to poklika trochę albo napisze jednego regex'a.

Masz jakieś argumenty czemu miałoby służyć hashowanie loginów?

[bialko0019]

No tak, powiem szczerze że o tym nie pomyślałem, jednak tworząc ten skrypt myślałem tylko o jednym userze i tylko administrarze, gdzie jak raz jest dodany admin to już jest cały czas, tylko może zmiana hasła. ALE masz w zupełności rację, lepiej jednak wykonywać w mysql_escape_string() .

To już jeden problem rozwiązany - dziękuję, ale nadal nie widzę pomocy, dlaczego

1. Dlaczego na jednym serwerze działa ( działa na boo.pl, nie działa na cba.pl - na innych nie próbowałem ) ze przekierowywyuje nas zeby sie zalogować a na drugim nie ?

[sowiq]

Po pierwsze - error_reporting(E_ALL) na samym początku skryptu - Headers already sent...?.
Po drugie sprawdzałeś inne przeglądarki? Czasami przeglądarka może ze względów bezpieczeństwa olewać nagłówki z przekierowaniami.

[bialko0019]

Wyświetla, że nie ma nic w zmiennych sesyjnych :
Notice: Undefined index: session_id in /var/www/virtual/katalomagic.l/admin/admin.php on line 8

Notice: Undefined index: auth in /var/www/virtual/katalomagic/admin/admin.php on line 10

Notice: Undefined index: login in /var/www/virtual/katalomagic/admin/admin.php on line 11

- to dobrze, nie ma nic, bo nie jest zalogowany...
ale dałem warunek, że jeżeli nikt nie jest zalogowany to powinno przekierować...

Pozatym przeglądarka nie blokuje, bo skrypt wstawiony na boo.pl śmiga, a na cba.pl serwerze nie.
Może coś serwer blokuje ?

EDIT
Utworzyłem zwykły plik php z samym przekierowaniem. Nic nie ma. Wstawiłem error reporting(e_all) i pokazała się fyfra : 4

Ten post edytował bialko0019 9.07.2009, 14:20:08

[Fifi209]

Może po prostu chodzi o różne konfiguracje serwerów? Bardzo ciężko znaleźć dwa takie same.

[bialko0019]

acha, no to na to wychodzi ze heander() nie jest aż tak kompatybilny. A w jaki inny sposób właśnie sprawdzać zalogowanie ? Bo w echo nie dam całej strony a include tym bardziej bo zainludowana strona przecież też musi być zabezpieczona... patrzę tutoriale skryptów logowania, żeby zobaczyć jak tam jest rozwiązane, ale wszędzie ten heander() no ;/