Zabezpieczenie sesji przed wejściem osób nieporządanych Opcje

[Mostrom]

Witam! Mam pytanie dotyczące zabezpieczenia przed ujawnieniem osobom zarejestrowanym na stronie niektórych treści, do których dostęp ma tylko admin. Jaka metoda jest bezpieczna?
W tej chwili zrobiłem to tak, że wszystkim użytkownikom, których login to "admin", pokazywane są opcje, których nie mogą ujrzeć 'uczniowie'. Jest to kwestia ingerencji w oceny, a więc bardzo ważna. Czy jest to bezpieczne?
Co proponujecie? Na ten temat nie mam zielonego pojęcia, bo nigdy nie postawiłem żadnej aktywnej strony na serwerze.

[erix]

Temat: Bezpieczenstwo skryptow PHP

[kiler129]

Jest to kwestia ingerencji w oceny, a więc bardzo ważna. Czy jest to bezpieczne?
Co proponujecie? Na ten temat nie mam zielonego pojęcia, bo nigdy nie postawiłem żadnej aktywnej strony na serwerze.

Coś ostatnio modne te elektroniczne dzienniki ... z tym, że wg mnie jeśli nie masz pojęcia to nie powinieneś się brać za tak strategiczną kwestię.
A co do zabezpieczenia samego - sesje są bdb ale zamiast sprawdzać login nadaj użytkownikom id czy nazwe grupy - wtedy przypisujesz wszytkich nauczycieli pod grupe o id=0 a uczniów pod grupe id=1 a nastepnie sprawdzasz przy próbie edycji.

[Mostrom]

I żaden haxor nie może zmienić grupy do której należy?


Mam jeszcze pytanie dotyczące logowania się. Jaka metoda jest najlepsza? Bo ja na razie mam taki skrypt do logowania, ale on jest banalny, a nie wiem czy dobry, ale działa:

[PHP] pobierz, plaintext 
<?php
 
function Login($komunikat=""){
		//formularz
}
 
if($_SESSION["zalogowany"]=false){ 
  if(!empty($_POST["login"]) && !empty($_POST["haslo"])){
    $query="mysql_query("SELECT * FROM `users` WHERE `user_login` = '".htmlspecialchars($_POST["login"])."' AND user_haslo = '".htmlspecialchars($_POST["haslo"])."'")"
    if( mysql_num_rows($query) ){
       echo "Zalogowano poprawnie. <a href='index.php'>Wróć na stronę główną</a>";
       $_SESSION["zalogowany"]=1;
    }
    else {
       Login("Podano złe dane!");
    }
  }
  else {
    Login();
  }
}
 
else {
  echo "<a href='index.php?wyloguj=tak'>Wyloguj się</a>";
}
 
?>
[PHP] pobierz, plaintext 

Ten post edytował Mostrom 17.10.2010, 18:33:16

[kiler129]

Generalnie dobry ale poczytaj o PDO i SQL Injection bo wtedy można sobie zmienić co się chce!
Co do zmiany grupy w sesji to jedyna możliwość takiej zmiany to przechwycenie session id nauczyciela LUB dostęp do serwera (php ma w plikach sesje)

[Walian]

Najlepiej napisać sobie klasę obsługującą sesje. Będzie jeszcze lepiej, jeśli sesje będą oparte o bazę danych i będą takie zabezpieczenia jak:
- przysłanie ciastka tylko przez protokół HTTP
- stosowanie mysql_real_escape_string()
- regenerowanie id sesji przy każdym nowym żądaniu
- można zastosować sprawdzanie adresu IP - ale to czasami okazuje się być utrudnieniem
- można zastosować sprawdzanie USER_AGENT
- można udawać, że korzysta się z PHP-owego systemu sesji
- ograniczenie czasu "życia" sesji

Ja tam nie lubię korzystać z gotowych bibliotek - wolę napisać własną klasę, przynajmniej wiem co i jak. Jak zauważę buga to wiem gdzie szukać i jak poprawić

[PHP] pobierz, plaintext 
$_SESSION["zalogowany"]=1;
[PHP] pobierz, plaintext 

To nie jest Ci potrzebne. Sprawdzaj po prostu czy jest ustawione:

[PHP] pobierz, plaintext 
if (isset($_SESSION['session_id']))
[PHP] pobierz, plaintext 

które zresztą może Ci się przydać.

[Mostrom]

Witam, wziałem sobie do serca to co powiedzieliście i zrobiłem coś takiego, przez co nie mogę się zalogować

Register:

[PHP] pobierz, plaintext 
$login=mysql_real_escape_string(htmlspecialchars(addslashes($_POST["login"])));
$password=md5(mysql_real_escape_string(htmlspecialchars(addslashes($_POST["haslo2"]))));
 
mysql_query("INSERT INTO `users` VALUES (NULL, '".$login."', '".$password."')";
[PHP] pobierz, plaintext 

Login:

[PHP] pobierz, plaintext 
$login=mysql_real_escape_string(htmlspecialchars(addslashes($_POST["login"])));
$password=md5(mysql_real_escape_string(htmlspecialchars(addslashes($_POST["haslo"]))));
 
if(mysql_num_rows(mysql_query("SELECT * FROM `users` WHERE `user_login` = '".$login."' AND user_haslo = '".$password."'"))){
//logowanie
}
[PHP] pobierz, plaintext 

Rejestruję nowego użytkownika, hasło jest hashowane w md5, ale nie mogę się zalogować. Dziwne, bo hasło przy logowaniu hashuję tak samo jak przy rejestracji. Dlaczego??

Ten post edytował Mostrom 19.10.2010, 18:25:42

[Ramzaa]

A spróbuj bez addslashes

[Mostrom]

Tak czy siak nie wchodzi. addslashes słyszałem, że na wszelki wypadek warto dać. Zresztą co mi szkodzi.

LOL Problem rozwiązany ;o

Powodem odrzucania hasła było ograniczenie liczby znaków dla hasła zakodowanego w md5... i obcinało w bazie danych 2 litery, dlatego się nei zgadzało ..
Pfff

[maniana]

Wg mnie najlepiej nie korzystać z sesji php tylko napisać własny mechanizm.
- Stworzyć tabele w bazie (memory) trzymającą nazwę sesji
- Wysyłać userowi ciacho z nazwą sesji
- porównywać ciacho z nazwą sesji z bazy

+ tego jest taki, ze masz pełną kontrolę nad wszystkim, user widzi tylko ciacho, które nic mu nie da
Oczywiście do tego należy zastosować się po powyższych porad.
Można jeszcze zastosować się to ciasteczek HttpOnly ale to jest tylko utrudnienie a nie zabezpieczenie.