Logowanie - Bezpieczeństwo to podstawa!, Logowanie wymienianie się zabezpieczeniami. Opcje

[seba199696]

Cześć. Poszukuję skryptu do logowania użytkownika [PHP/MYSQL].

Stwórzmy razem dobry darmowy skrypt.
Może ktoś wkleić dobrego gotowca? Razem będziemy ulepszać zabezpieczenia skryptu przed atakami.
Dużo jest gotowców lecz nie są bezpieczne

Co najlepiej wykorzystać?

Ten post edytował seba199696 21.05.2011, 23:35:54

[kiler129]

Generlanie logowanie to prosta sprawa: w bazie tryzmamy login+solony hash hasla. Dodatkowo w sesji zapisujesz md5() utworzone z ip oraz przeglądarki użytkownika.
Do łącznia się z bazą używasz PDO. Przy sprawdzaniu czy zalogowany weryfikujesz md5() w sesji (coby nikt nie kradł sesji innemu użytkownikowi).

Ot cała filozofia.

[wookieb]

Przenoszę

[plej]

Sam go chce ulepszyć więc wkleję mój skrypt:)

[PHP] pobierz, plaintext 
<?php
session_start();
 
if (!isset($_SESSION['login'])) { // dostęp dla niezalogowanego użytkownika
 
    if ($_POST['wyslane']) { // jeżeli formularz został wysłany, to wykonuje się poniższy skrypt
 
        include 'db.php'; // połączenie się z bazą danych
        $tabela = 'uzytkownik'; // zdefiniowanie tabeli MySQL
 
        $login = htmlspecialchars(stripslashes(strip_tags(trim($_POST["login"]))));
        $haslo = htmlspecialchars(stripslashes(strip_tags(trim($_POST["haslo"]))));
 
        $haslo = md5($haslo); // szyfrowanie podanego hasła
 
        $wynik=mysql_query("SELECT * FROM $tabela WHERE
        login='$login' and haslo='$haslo' and status=0");
 
        // jeżeli użytkownik zarejestrował się, a nie aktywował swojego konta, to wyświetla się komunikat
        if (mysql_num_rows($wynik) == 1) {
            $informacja = mysql_fetch_array($wynik);
            echo '<p>Nie aktywowałeś jeszcze swojego konta. Aby to zrobić, wejdź w swoją skrzynkę odbiorczą, a następnie znajdź wiadmość z linkiem aktywacyjnym i aktywuj swoje konto</p>';
            exit;
        }
 
        // jeżeli wszystko jest dobrze, użytkownik się loguje
        $wynik=mysql_query("SELECT * FROM $tabela WHERE
        login='$login' and haslo='$haslo' and status=1");
 
        if (mysql_num_rows($wynik) == 1) {
            $informacja = mysql_fetch_array($wynik);
            $_SESSION["login"] = $informacja["login"];
            header('Location: index.php');
        } else {
            echo '<p>Zostały wprowadzone nieprawidłowe dane</p>';
        }
        mysql_close($polaczenie);
    }
 
 
 
} else {
    header('Location: index.php'); // zalogowany użytkownik zostaje przekierowany na stronę główną
}
 
if ($_GET["wylogowanie"] == "tak") {
    // niszczenie sesji użytkownika
    session_unset();
    session_destroy();
    header('Location: index.php'); // przekierwanie na stronę główną
}
$tytul = "Logowanie";
include('naglowek.php');
include('panel-logowania.php');
include('menu-gora.php');
include('menu-lewe.php');
?>
 
	<div id="srodek">
		<div id="srodekt"></div>
		<div id="srodeks">
<br/>
		</div>
		<div id="srodekb"></div>
	</div>
<?php
// mysql_query('SET NAMES \'utf8\'');
include('prawa-strona.php');
include('stopka.php');
?>
[PHP] pobierz, plaintext 

[konole]

Kod

        $login = htmlspecialchars(stripslashes(strip_tags(trim($_POST["login"]))));
        $haslo = htmlspecialchars(stripslashes(strip_tags(trim($_POST["haslo"]))));

Jeszcze zapomniałeś mysql_real_escape_string

[seba199696]

[PHP] pobierz, plaintext 
   include 'db.php'; // połączenie się z bazą danych 
[PHP] pobierz, plaintext 

Czy to jest bezpieczne? lepiej łączyć się w tym samym skrypcie?

[kiler129]

[PHP] pobierz, plaintext 
   include 'db.php'; // połączenie się z bazą danych 
[PHP] pobierz, plaintext 

Czy to jest bezpieczne? lepiej łączyć się w tym samym skrypcie?

Jeśli nie ma danych od użytkownika to include jest jak najbardziej bezpieczne.

[plej]

w db.php łączy się z bazą danych:)

konole gdzie dodać "mysql_real_escape_string"

[seba199696]

"Do łącznia się z bazą używasz PDO." O co chodzi z tym PDO? Jak to wykorzystać?

[mat-bi]

http://pl.php.net/manual/pl/book.pdo.php

Taa,

plej - może manual - mysql_real_escape_string

[seba199696]

[PHP] pobierz, plaintext 
<? Php
$ Dbh = new PDO ( 'mysql: host = localhost; dbname = test' , $ user , $ pass );
?>
[PHP] pobierz, plaintext 

Chodzi o takie połączenie?

[Rid]

A ja zaproponuję inną możliwość dla zwiększenia bezpieczeństwa:
http://dev.mysql.com/doc/refman/5.0/en/sec...onnections.html

[Zyx]

A na co komu takie logowanie całkowicie oderwane od jakiegokolwiek systemu? Przecież powinno być oczywiste, że mechanizm uwierzytelniania użytkownika to część platformy/systemu, na bazie której tworzymy naszą stronę WWW, a nie żaden samodzielny byt, bo tak to to nigdy nie będzie ani bezpieczne, ani działające. Generalnie na początek polecam bardziej pogłębienie swojej znajomości PHP oraz zasad działania poszczególnych funkcji, bo to, co z tym kodem wyrabiacie, to jakiś horror.

[PHP] pobierz, plaintext 
$login = htmlspecialchars(stripslashes(strip_tags(trim($_POST["login"]))));
$haslo = htmlspecialchars(stripslashes(strip_tags(trim($_POST["haslo"]))));
[PHP] pobierz, plaintext 

1. Brak sprawdzania ustawień magic_quotes - na połowie serwerów ten kod nie będzie działać.
2. Gratulacje, dzięki temu genialnemu produktowi myśli informatycznej pojawiła się podatność na SQL Injection.

[PHP] pobierz, plaintext 
<?php
session_start();
[PHP] pobierz, plaintext 

Miło, że sesja nie jest w ogóle zabezpieczona przed przechwyceniem...

[PHP] pobierz, plaintext 
        $wynik=mysql_query("SELECT * FROM $tabela WHERE
        login='$login' and haslo='$haslo' and status=0");
 
        // jeżeli użytkownik zarejestrował się, a nie aktywował swojego konta, to wyświetla się komunikat
        if (mysql_num_rows($wynik) == 1) {
            $informacja = mysql_fetch_array($wynik);
            echo '<p>Nie aktywowałeś jeszcze swojego konta. Aby to zrobić, wejdź w swoją skrzynkę odbiorczą, a następnie znajdź wiadmość z linkiem aktywacyjnym i aktywuj swoje konto</p>';
            exit;
        }
 
        // jeżeli wszystko jest dobrze, użytkownik się loguje
        $wynik=mysql_query("SELECT * FROM $tabela WHERE
        login='$login' and haslo='$haslo' and status=1");
[PHP] pobierz, plaintext 

Pomijając już wołający o pomstę do nieba sposób wstawiania danych do zapytania, który w połączeniu z pierwszym zacytowanym przeze mnie fragmentem kodu gwarantuje nam piękne SQL Injection, mamy tu "miszczostwo" optymalizacji. Po jakiego grzyba dokładnie ten sam wiersz jest później pobierany drugi raz? Czy nie prościej jest pobrać go raz, z pominięciem warunku AND status=0 i sprawdzić ten status już w skrypcie?

Rid -> i na co komu SSL w komunikacji z bazą danych, kiedy kod PHP leży i kwiczy? Zapominasz o prostym fakcie, że żaden administrator profesjonalnego hostingu nie jest na tyle głupi, by pchać komunikację z bazami danych jawnie przez Internet. Nawet jeśli serwer bazodanowy i serwer WWW nie są tą samą maszyną, będą umieszczone w tej samej sieci chronionej pierdyliardem firewalli filtrujących ruch i posiadającej jeszcze wewnętrzne zabezpieczenia. Jak komuś to będzie potrzebne, to administrator dobry powie prosto i jasno: proszę łączyć się z bazą poprzez SSL, bo taka jest polityka bezpieczeństwa. W przeciwnym wypadku świadczy to tylko o zerowych kompetencjach autora takiego kodu, który nie ma zielonego pojęcia, co robi i dlaczego właściwie to robi.

Generalnie sorry, że rozbijam Wasze marzenia, ale napisanie bezpiecznego logowania to bułka z kromką, ale pod warunkiem, że się umie programować, umie myśleć i umie korzystać z poszczególnych narzędzi. Jak będziecie tak dorzucać różne głupoty nie mając zielonego pojęcia o tym, jak to właściwie działa, to nigdy nie osiągniecie zamierzonego efektu.