Mój skrypt logowania. Opcje

[boryssek]

Napisałem skrypt logowania i chciałbym abyście powiedzieli czy jest on bezpieczny.
Składa się z 3 plików: index.php, dane.php, sprawdz.php

Teraz przedstawie wam listingi tych trzech plików!
index.php:
[php:1:a8e114fbdc]
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-2">

<form method=post action=sprawdz.php>
Podaj ID:
<input type=text name=id size=5>
<br>
Podaj login:
<input type=text name=login size=25>
<br>
Podaj hasło:
<input type=password name=haslo size=25>
<br>
<br>
<input type=submit value=Zaloguj></form>
[/php:1:a8e114fbdc]

dane.php
[php:1:a8e114fbdc]
<?php
$id0 = '';
$id1 = '1';
$id2 = '2';

$nick[$id0] = '';
$nick[$id1] = 'test';
$nick[$id2] = 'gall';

$pass[$id0] = 'haslo_zabezpieczajace_przed_pustym_formularzem';
$pass[$id1] = 'test1';
$pass[$id2] = 'anonim';
?>
[/php:1:a8e114fbdc]
sprawdz.php
[php:1:a8e114fbdc]<?php
include("dane.php");
if($login == $nick[$id] && $haslo == $pass[$id]){
echo "Podałeś prawidłowe hasło witamy!";
}
else{
echo "Złe dane!";
}
?>[/php:1:a8e114fbdc]

Przeanalizujcie ten kod i powiedzcie czy jest poprawny.
Czekam na wszelkie opinie!

[[fisher]]

Napisałem skrypt logowania i chciałbym abyście powiedzieli czy jest on bezpieczny.
Przeanalizujcie ten kod i powiedzcie czy jest poprawny.
Czekam na wszelkie opinie!

w sprawdz.php zamiast
$login uzyj $_POST['login']
$id uzyj $_POST['id']
$haslo uzyj $_POST['haslo']

dodatkowo dolozylbym haszowanie (md5) skladowanych hasel

pomyslalbym tez nad innym sposobem zapisywania hasel, gdyz ten stanie sie topornie ciezki w aktualizowaniu przy wiekszej ilosci pozycji

ps. a po co Ci to id ?

[sobstel]

no i moze jeszcze addslashes()

[arogancik]

no to moze dodać jeszcze kodowanie hasełko w js przed wysłąniem

[[fisher]]

no to moze dodać jeszcze kodowanie hasełko w js przed wysłąniem :)

wystarczy SSL

[arogancik]

zalezy czy ma obsluge ssl a java script jest prawie wszedzie

[[fisher]]

zalezy czy ma obsluge ssl :P a java script jest prawie wszedzie :D

jak komus zalezy na bezpieczenstwie to SSL nie jest dla niego problemem, js (szczegolnie mocno rozbudowana jest jeszcze mimo wszystko problemem)

[sobstel]

a czy na pewno przy kodowaniu za pomoca js nie da sie tego wczesniej przechwycic?? obawiam sie, ze da sie (ale gowy nie dam).

[arogancik]

wszystko da sie przechwycić i łatwo zrobisz odkodowywanie jesli zajrzysz w źrdło strony, ale codzi o to zeby tylko utrudić zycie
i to miał być w sumie żarcik z tym JS ale widze ze wszystkim to sie spodobało

[[fisher]]

wszystko da sie przechwycić i łatwo zrobisz odkodowywanie jesli zajrzysz w źrdło strony, ale codzi o to zeby tylko utrudić zycie :)
i to miał być w sumie żarcik z tym JS ale widze ze wszystkim to sie spodobało :D

mowa byla o kodowaniu hasla o ile dobrze pamietam. o ile mi wiadomo mozna napisac wlasna implementacje md5 w javascript.
wiec jesli myslisz ze znajomosc algorytmu kodujacego md5 pozwoli ci rozkodowac zakodowany tekst to sie mylisz :D

ps. reasumujac mozna by uzyc (jesli nie mamy dostepu do ssl) kodowania hasla w md5 po stronie klienta.