System logowania [do sprawdzenia] Opcje

[Riklaunim]

Zrobiłem prosty system logowania oparty o sesje:

[PHP] pobierz, plaintext 
<?php
// Bierz dane z tabeli userów
include('./txtSQL.class.php');
$sql = new txtSQL('./data');
	$sql->connect('root',''); 
	$sql->selectdb('rkcms_core');
	$results=
	$sql->execute('select',
		   array('select' => array('id', 'login', 'haslo', 'email', 'gg', 'tlen', 'strona', 'wiek', 'plec', 'ip', 'logdate', 'defcon', 'text'),
				 'table'  => 'user'));
//Zrób tablicę
foreach ( $results as $key => $row )
	   {
	$user_array[$row[login]]=$row[haslo];
	   }
 
//Czy wprowadzone dane są ok?
function checklogin()
	{
	global $login, $haslo, $user_array;
	$haslo = md5($haslo);
	IF ($user_array[$login]==$haslo)
	   {
	   return 1;
	   } else {
	   return 0;
	   }
	}
 
function logout()
	{
	session_name(&#092;"logowanie\");
	session_unregister(&#092;"login\");
	session_unregister(&#092;"haslo\");
	}
 
//Zaczynamy logowanie
session_name(&#092;"logowanie\");
session_start();
	IF ($login!=&#092;"\" and $haslo!=\"\" and !isset($_REQUEST[\"login\"]))
	   {
	   session_register(&#092;"login\", \"haslo\");
	   }
 
	//Gdy niezalogowany
	IF ($login == &#092;"\" and $haslo == \"\" and !isset($_REQUEST[\"login\"]))
	   {
	   $action= &#092;"login\";
	   }
	   
	elseif(checklogin() == 1)
	   {
	   if ($action==&#092;"\")
	   $action = &#092;"zal\";
	   } else {
	   $action = &#092;"bad\";
	   logout();
	   }
 
//Prosta obsługa logowanie/zalogowany/błąd logowania... itp.
switch($action)
	{
	case &#092;"login\":
	echo '<form><input type=text name=login><BR><input type=password name=haslo><BR><input type=submit value=Zaloguj></form>';
	break;
	case &#092;"bad\":
	echo 'błąd logowania';
	break;
	case &#092;"zal\":
	echo &#092;"zalogowany, <a href=\"?action=logout\\">wyloguj</a>.<BR>\";
	break;
	case &#092;"logout\":
	logout();
	echo &#092;"wylogowany\";
	break;
	}
?>
[PHP] pobierz, plaintext 

Skrypt sam w sobie działa... tylko mam pytanie czy jest "bezpieczny", czy nie da się go jakoś obejść albo coś zrobić lepiej Jak ktoś chce może wykorzystać

[seaquest]

Po 1. Przede wszystkim moim zdaniem system nie dziala,bo przeciez w funkcji checklogin() znienna user_array nie jest globalną

Po 2. ale to kwestia czasowa: po co ładować wszysktich userów, skoro można tylko jednego...

Po 3. Używaj tablic superglobalnych zamiast session_*

Po 4. System nie działa dlatego, że nie ma zmiennej $results zadeklarowanej - jest tylko zmienna $sql z rezultatami. (poczytaj troche manuala txtsql)

Tak wiec nie ma co dyskutowac o bezpieczeństwie zanim sie nie poprawi systemu.

[Riklaunim]

Mi skrypt działa poprawnie, logowanie, wylogowanie itd.

Po 1. Przede wszystkim moim zdaniem system nie dziala,bo przeciez w funkcji checklogin() znienna user_array nie jest globalną

a niby to to co?

Kod

global $login, $haslo, $user_array;

Po 4. System nie działa dlatego, że nie ma zmiennej $results zadeklarowanej - jest tylko zmienna $sql z rezultatami. (poczytaj troche manuala txtsql)

Na txtSQL pracuję już od długiego czasu i wszystko mi działa Przecież jest w kodzie

Kod

$results=
    $sql->execute('select',

co jest standardowym, nie skróconym wywołaniem danych

Po 2. ale to kwestia czasowa: po co ładować wszysktich userów, skoro można tylko jednego...

w sumie można dać ograniczenie w zapytaniu...

[sf]

Riklaunim:

http://pl2.php.net/manual/pl/ref.session.php

Notatka:  Od wersji php 4.1.0 dostępna jest globalna zmienna $_SESSION, podobnie jak $_POST, $_GET, $_REQUEST i tak dalej. W odróżnieniu od $HTTP_SESSION_VARS, $_SESSION jest zawsze globalna. W związku z tym global nie powinno być użyte do $_SESSION.

Użycie $_SESSION (lub $HTTP_SESSION_VARS dla wersji php 4.0.6 i starszych) jest wskazane ze względów bezpieczeństwa i czytelności kodu. Używając $_SESSION lub $HTTP_SESSION_VARS nie ma potrzeby używać funkcji session_register()/session_unregister()/session_is_registered(). Użytkownicy mogą uzyskiwać dostęp do zmiennych sesyjnych tak jak do normalnych zmiennych.