[skrypt] prosze o opinie o skrypcie autoryzacji

[skrypt] prosze o opinie o skrypcie autoryzacji, Przesiadam sie z autoryzacji ciasteczkowej na sesje

x11100b Zobacz profil	10.09.2009, 15:29:44 Post #1
Grupa: Zarejestrowani Postów: 16 Pomógł: 0 Dołączył: 20.08.2009 Ostrzeżenie: (0%)	Witam. Przesiadam sie z autoryzacji ciasteczkowej na sesje - mialbym prosbe do osob znajacych sie na bezpieczenstwie zeby wypowiedzieli sie o moim skrypcie: [PHP] pobierz, plaintext <?php session_start(); // inicjuje zmienne ktore beda zawieraly informacje o uzytkowniku potrzebne dla skryptow w dalszej czesci strony: $_vc_typ = 0; // typ 0 oznacza brak autoryzacji if((!isset($_SESSION['uzytkownik'])) \|\|(!isset($_SESSION['md5_haslo']))) { $_SESSION['uzytkownik'] = 0; $_SESSION['haslo'] = 0; } else { // pobieram zmienne przechowywane w sesji: $haslo = $_SESSION['md5_haslo']; $id = $_SESSION['id']; // sprawdzam czy dane trzymane w sesji sa poprawne i pobieram login (log) i typ uzytkownika (typ): $sql = mysql_connect('localhost','root',''); mysql_select_db('testowa'); $zap = mysql_query("SELECT `log`,`typ` FROM `_vc_usr` WHERE `id`='$id' AND `has`='$haslo' LIMIT 1"); mysql_close($sql); if ( mysql_num_rows($zap) == 1 ) { // jesli dane byly poprawne: $rek = mysql_fetch_array($zap); $_vc_login = $rek['log']; // login pobieram aby powitac uzytkownika $_vc_typ = $rek['typ']; // dalej, sprawdzajac wartosc zmiennej "_vc_typ" bede wiedzial co moge wyswietlic a co nie } else { // jesli byly niepoprawne: echo 'Sesja zawiera nieprawidlowe dane. Koniec pracy skryptu.'; exit(); } } ?> [PHP] pobierz, plaintext baza z uzytkownikami tworzona jest poleceniem: [SQL] pobierz, plaintext CREATE TABLE `vc_usr` (`id` INTEGER PRIMARY KEY NOT NULL AUTO_INCREMENT ,`log` VARCHAR( 30 ),`has` VARCHAR( 30 ), `typ` INTEGER ) [SQL] pobierz, plaintext Ten post edytował erix 10.09.2009, 18:03:02 Powód edycji: [erix]: przeniosłem

bl4ck_b0x Zobacz profil	10.09.2009, 20:30:03 Post #2
Grupa: Zarejestrowani Postów: 81 Pomógł: 0 Dołączył: 21.11.2006 Ostrzeżenie: (0%)	Jedyne co zauważyłem to to żebyś filtrował dane wprowadzane przez użytkownika

bim2 Zobacz profil	11.09.2009, 17:42:04 Post #3
Grupa: Zarejestrowani Postów: 1 873 Pomógł: 152 Dołączył: 9.04.2006 Skąd: Berlin Ostrzeżenie: (0%)	Daj sobie [PHP] pobierz, plaintext $_SESSION['haslo'] = "' OR 1=1 "; [PHP] pobierz, plaintext a login moze byc i pusty i zobacz że cię zaloguje :] -------------------- » Hern.as » Move to Apple Music

x11100b Zobacz profil	14.09.2009, 12:40:45 Post #4
Grupa: Zarejestrowani Postów: 16 Pomógł: 0 Dołączył: 20.08.2009 Ostrzeżenie: (0%)	a nie wystarczy filtrowac danych od uzytkownika podczas odczytu danych z metody POST / GET ? mozna jakos "sztucznie" ustawic jakas wartosc sesji w moim skrypcie, np. poprzez dopisanie czegos do adresu URL? nanioslem poprawki, prosze o ocene: [PHP] pobierz, plaintext <?php // inicjacja sesji: session_start(); // dane do polaczenia z baza danych: require('skrypty/_vc_include/php/mysql.php'); // inicjuje zmienne ktore beda zawieraly informacje o uzytkowniku potrzebne dla skryptow w dalszej czesci strony: $_vc_typ = 0; // typ 0 oznacza brak autoryzacji unset($zap); // jesli uzytkownik przeslal dane metoda POST: if ((isset($_POST['vc_haslo'])) && (isset($_POST['vc_login']))){ // pobieram dane: $haslo = addslashes(md5($_POST['vc_haslo'])); $login = addslashes($_POST['vc_login']); $zap = "SELECT `id`,`log`,`typ` FROM `vc_usr` WHERE `log`='$login' AND `has`='$haslo' LIMIT 1"; // jesli sa odpowiednie zmienne w sesji: } else if((isset($_SESSION['_vc_uzytkownik'])) && (isset($_SESSION['_vc_md5_hasla']))) { // pobieram zmienne przechowywane w sesji: $haslo = addslashes($_SESSION['_vc_md5_hasla']); $id = addslashes($_SESSION['_vc_uzytkownik']); $zap = "SELECT `id`,`log`,`typ` FROM `vc_usr` WHERE `id`='$id' AND `has`='$haslo' LIMIT 1"; } // jesli zapytanie bylo wykonane: if(isset($zap)){ // sprawdzam czy dane trzymane w sesji / przeslane metoda POST sa poprawne i pobieram login (log) i typ uzytkownika (typ): $sql = mysql_connect($_VC_S,$_VC_U,$_VC_H); mysql_select_db($_VC_B); $zap = mysql_query($zap); mysql_close($sql); // i dane byly poprawne: if ( mysql_num_rows($zap) == 1 ) { $rek = mysql_fetch_array($zap); $_vc_log = $rek['log']; // login pobieram aby powitac uzytkownika $_vc_typ = $rek['typ']; // dalej, sprawdzajac wartosc zmiennej "_vc_typ" bede wiedzial co moge wyswietlic a co nie $_vc_uid = $rek['id']; // id uzytkownika potrzebne do oznazcania zmian ktore on dokonal // wstawiamy dane do sesji: $_SESSION['_vc_uzytkownik'] = $_vc_uid; $_SESSION['_vc_md5_hasla'] = $haslo; } } ?> [PHP] pobierz, plaintext

« Następny starszy · Oceny · Następny nowszy »

1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Standardowy · Przełącz na: Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Wersja Lo-Fi

Aktualny czas: 19.07.2025 - 04:44

Hosting zapewnia

Forum PHP.pl