[PHP] Czy to są poprawnie zrobiona sesja?, czy jest "bezpieczna" ? Opcje

[breq]

Hej!

Zaczynam zabawę z sesjami, napisałem coś takiego:

logowanie:

[PHP] pobierz, plaintext 
 <form enctype='multipart/form-data' action='login.php' method='POST'>
			 <table border='0'>
				<tr>
					<td>Login:</td>
						<td><input type='text' name='login' size='20' style='border: 1px solid Black'/></td>
				</tr>
				<tr>
					<td>Hasło:</td>
						<td><input type='password' name='haslo' size='20' style='border: 1px solid Black'/></td>
						<td rowspan='2'><input type='image' src='gfx/login.png'width='24' value='zaloguj' alt='zaloguj' style='vertical-align:middle;' onfocus='this.blur()'/></td>
				</tr>
			 </table>
[PHP] pobierz, plaintext 

login.php:

[PHP] pobierz, plaintext 
	if($haslo_hash==$haslo_z_bazy)
	  {
		 if (!isset($_SESSION['zalogowany']))
	 	  {
		   $_SESSION['zalogowany'] = 1;
		   $login=$_SESSION['login'];
		  }
		echo "<script>setTimeout('document.location = \"index.php\"', 1);</script>";
	  }
	else
	  {
	   	echo "<div align='center'><b>Ups!</b><br/>Cos poszlo nie tak!</div>"; 
 
	  }
[PHP] pobierz, plaintext 

i sam nagłówek:

[PHP] pobierz, plaintext 
<?php
	session_start(); 	
	if ($_SESSION['zalogowany'] == 1) {
$_SESSION['login']=$_POST["login"];
	  $login=$_SESSION['login'];
}
?>	
[PHP] pobierz, plaintext 

Czytalem troche o sesjach, m. in. tutaj
http://pl.wikibooks.org/wiki/PHP/Sesje
i zabezpiecze je jeszcze adresem IP, natomiast ciekawi mnie co myslicie o takim sposobie logowanie?
Przypuszczam, ze jest to wręcz śmieszne zabezpiczenie, może macie dostępne wasze przykłady jak używacie sesji albo jakiś konkretny poradnik?

Ten post edytował breq 4.10.2011, 20:12:53

[CuteOne]

zamiast
echo "<script>setTimeout('document.location = \"index.php\"', 1);</script>";

uzyj nagłówka
header('Location: http:/ /mojewww .pl/index.php');

a to "$login=$_SESSION['login'];" po co?

ps. co do tytułu tematu - google -> php zabezpieczenie sesji

Ten post edytował CuteOne 4.10.2011, 21:54:09

[siwy21]

Jeśli chcesz zrobić bezpiecznie to zapisuj do sesji dodatkowo np. IP użytkownika i porównuj za każdym wywołaniem z tym, które ma user. Inaczej jeśli ktoś przejmie cookie sesji innego usera, będzie mógł skorzystać z jego uprawnień

dodaj do skryptu logowania (tam gdzie logujesz usera) np.

[PHP] pobierz, plaintext 
$_SESSION['verify'] = md5($_SERVER['REMOTE_ADDR'] . $_SERVER['HTTP_USER_AGENT'] . $salt); 
[PHP] pobierz, plaintext 

($salt - to losowa kombinacja znaków, stwórz gdzieś wcześniej w skrypcie tą zmienną i wypełnij losowymi danymi) .np

[PHP] pobierz, plaintext 
$salt = "w}V{UOv%0_MV$[yR4,Tv*RdYCs.Oq^bM[XBEdXy3H.qzUO_qsCLo(";
[PHP] pobierz, plaintext 

Następnie porównaj przy każdym wywołaniu strony np. tak:

[PHP] pobierz, plaintext 
if (!$_SESSION['verify'] || $_SESSION['verify'] != md5($_SERVER['REMOTE_ADDR'] . $_SERVER['HTTP_USER_AGENT'] . $salt)) {
 //skrypt do wykonania jeśli hashe się różnią (czyli user ma inne IP lub przeglądarke)
}
[PHP] pobierz, plaintext 

To powinno dodać jakieś zabezpieczenie do sesji


btw.

[PHP] pobierz, plaintext 
$_SESSION['login']=$_POST["login"];
[PHP] pobierz, plaintext 

dobra praktyka, to nigdy nie wierzyć użytkownikowi Zabezpieczaj dane, które pobierasz z $_POST, $_GET, $_COOKIE np.

[PHP] pobierz, plaintext 
$_SESSION['login']=htmlentities($_POST["login"], ENT_QUOTES);
[PHP] pobierz, plaintext 

Ten post edytował siwy21 5.10.2011, 07:59:49

[breq]

dzieki Panowie, z pewnością skorzystam z waszych rad
to biorę się za pisanie :]