Forum PHP.pl

Forum PHP.pl > Forum > PHP

Logowanie PHP PDO

seba199696 Zobacz profil	14.11.2011, 20:59:55 Post #1
Grupa: Zarejestrowani Postów: 119 Pomógł: 0 Dołączył: 4.01.2011 Ostrzeżenie: (20%)	Cześć wszystkim Napisałem logowanie do serwisu i wszystko działa poprawnie lecz proszę o wasze sugestię na temat bezpieczeństwa skryptu. Proszę o wyrozumiałość Pozdrawiam! Daję kod: [PHP] pobierz, plaintext <?php session_start(); ?> <meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> <form method="post" action="login.php"> <input type="text" name="email"/> <input type="password" name="password"/> <input type="submit" name="submit"/> </form> <?php try { //conect $pdo = new PDO('mysql:host=localhost;dbname=user', 'user', '***'); $pdo -> setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); if(isset($_POST['submit'])) { if(filter_var($_POST['email'], FILTER_VALIDATE_EMAIL)) { $password = sha1($_POST['password'].'sad8%$9sdk'); $stmt = $pdo -> prepare('SELECT `email`, `password`,`id` FROM `users` WHERE `email` = :email AND `password` = :password'); $stmt -> bindValue(':email', $_POST['email'], PDO::PARAM_STR); $stmt -> bindValue(':password', $password, PDO::PARAM_STR); $stmt -> execute(); $count = $stmt ->rowCount(); if($count > 0) { while($row = $stmt -> fetch()) { session_regenerate_id (true); $_SESSION['status'] = true; $_SESSION['id'] = $row['id']; $_SESSION['HTTP_USER_AGENT'] = sha1($_SERVER['HTTP_USER_AGENT'].'dsd#$%^'); header('Location: home.php'); } } else { echo "Logowanie zakończone niepowodzeniem!"; } } else { echo 'Adres e-mail niepoprawny'; } } } catch(PDOException $e) { echo 'Error: ' . $e->getMessage(); } ?> [PHP] pobierz, plaintext

Start new topic

Odpowiedzi (1 - 17)

darko Zobacz profil	15.11.2011, 00:22:30 Post #2
Grupa: Zarejestrowani Postów: 2 885 Pomógł: 463 Dołączył: 3.10.2009 Skąd: Wrocław Ostrzeżenie: (0%)	Sprawdzaj jeszcze długość podanych danych i będzie mniej więcej ok. -------------------- Nie pomagam na pw, tylko forum.

IceManSpy Zobacz profil	15.11.2011, 01:01:45 Post #3
Grupa: Zarejestrowani Postów: 1 006 Pomógł: 111 Dołączył: 23.07.2010 Skąd: Kraków Ostrzeżenie: (0%)	A nie lepiej zrobić połączenie dopiero po if(isset) ? -------------------- Mój blog Dropbox jako repozytorium GIT \|\| Podgląd zapytań do bazy danych w Zend FrameWork

zegarek84 Zobacz profil	15.11.2011, 01:14:13 Post #4
Grupa: Zarejestrowani Postów: 1 332 Pomógł: 294 Dołączył: 12.10.2008 Skąd: Olkusz Ostrzeżenie: (0%)	Cytat(IceManSpy @ 15.11.2011, 01:01:45 ) A nie lepiej zrobić połączenie dopiero po if(isset) ? jeśli chodzi o optymalizację to tak - ale na początek nie ma co przesadzać ;] -------------------- Jeśli twoja ręka rusza do przodu powstrzymaj swój gniew; gdy wyprzedza cię twój gniew - wycofaj rękę. zegarek84

cycofiasz Zobacz profil	15.11.2011, 13:40:25 Post #5
Grupa: Zarejestrowani Postów: 711 Pomógł: 127 Dołączył: 5.07.2008 Skąd: Łódź Ostrzeżenie: (0%)	Tylko co tam na początku robi ten HTML? Przecież poniżej wysyłasz nagłówki.

seba199696 Zobacz profil	15.11.2011, 19:34:05 Post #6
Grupa: Zarejestrowani Postów: 119 Pomógł: 0 Dołączył: 4.01.2011 Ostrzeżenie: (20%)	Chcę umieścić sprawdzenie poprawności hasła - jedną małą literę - jedną dużą literę - jedną cyfrę - jeden znak specjalny - min 8 znaków - max 30 znaków Podaję kod: [PHP] pobierz, plaintext <?php $pass = "Password!1"; if (preg_match("/^(?=.[A-Z])(?=.[a-z])(?=.[0-9])(?=.[!@#$%^&()_+\|-]).{8,30}$/",$pass)) { //true } ?> [PHP] pobierz, plaintext Co o tym myślicie? Ten post edytował seba199696* 15.11.2011, 21:24:06

abort Zobacz profil	15.11.2011, 20:48:10 Post #7
Grupa: Zarejestrowani Postów: 590 Pomógł: 107 Dołączył: 25.10.2011 Ostrzeżenie: (0%)	IMO Wygląda nieźle.

zegarek84 Zobacz profil	16.11.2011, 00:44:35 Post #8
Grupa: Zarejestrowani Postów: 1 332 Pomógł: 294 Dołączył: 12.10.2008 Skąd: Olkusz Ostrzeżenie: (0%)	jako, że rozumiem wyrażenia regularne, to mogę ze spokojnym sumieniem napisać, iż znaków można wprowadzić grubo więcej niż 30 a i poprawne hasło z założenia będzie błędne - przykład: !0aAAAAA z kolei błędne hasło które na bank przejdzie: ...............A...............a...............0...............!............... na wyrażeniu całości tak nie zrobisz , i choć całe wyrażenie nie jest najlepsze to koniec choćby nawet znaczy .{8,30} - minimum 8 max 30 dowolnych znaków, z kolei "." znaczy to samo co 0 i więcej dowolnego znaku... ps. nie wierzę, że hasło w podanym kodzie pasuje do wzorca ;D - gdyż nie może ______________________ edit mój błąd Ten post edytował zegarek84* 16.11.2011, 21:58:19 -------------------- Jeśli twoja ręka rusza do przodu powstrzymaj swój gniew; gdy wyprzedza cię twój gniew - wycofaj rękę. zegarek84

seba199696 Zobacz profil	16.11.2011, 08:18:30 Post #9
Grupa: Zarejestrowani Postów: 119 Pomógł: 0 Dołączył: 4.01.2011 Ostrzeżenie: (20%)	Napisałeś że haslo ...............A...............a...............0...............!............... przejdzie a to nie prawda pokazuje false

abort Zobacz profil	16.11.2011, 10:57:30 Post #10
Grupa: Zarejestrowani Postów: 590 Pomógł: 107 Dołączył: 25.10.2011 Ostrzeżenie: (0%)	Cytat(zegarek84 @ 16.11.2011, 00:44:35 ) ps. nie wierzę, że hasło w podanym kodzie pasuje do wzorca ;D - gdyż nie może A jednak pasuje. Wystarczy wrzucić regexpa do pliku php i odpalić go w przeglądarce, co serdecznie polecam. Pasuje także zmiana kolejności liter, cyfr i znaków specjalnych (czego na pierwszy rzut oka nie widziałem).

zegarek84 Zobacz profil	16.11.2011, 21:58:33 Post #11
Grupa: Zarejestrowani Postów: 1 332 Pomógł: 294 Dołączył: 12.10.2008 Skąd: Olkusz Ostrzeżenie: (0%)	rzeczywiście mój błąd - aż mi wstyd - nie trzeba wrzucać do pliku, można z linii poleceń sprawdzić... chyba przegapiłem znak "=" i potraktowałem jako ":", czyli zamiast (?=) myślałem w kategorii (?:)... jest jeszcze jedno przydatne grupowanie (?!) - czyli ma się nie dopasować do tego co w środku... Ten post edytował zegarek84 16.11.2011, 21:59:18 -------------------- Jeśli twoja ręka rusza do przodu powstrzymaj swój gniew; gdy wyprzedza cię twój gniew - wycofaj rękę. zegarek84

seba199696 Zobacz profil	16.11.2011, 22:59:27 Post #12
Grupa: Zarejestrowani Postów: 119 Pomógł: 0 Dołączył: 4.01.2011 Ostrzeżenie: (20%)	Wkleję za niedługo poprawiony skrypt [PHP] pobierz, plaintext <?PHP session_start(); if(isset($_POST['submit'])) { if (preg_match("/^(?=.[A-Z])(?=.[a-z])(?=.[0-9])(?=.[!@#$%^&()_+\|-]).{8,30}$/",$_POST['password'])) { if(preg_match('/^[a-zA-Z\.\-\_]+\@[a-zA-Z0-9\.\-\_]+\.[a-z]{2,4}$/D', $_POST['email'])) { try { $pdo = new PDO('mysql:host=localhost;dbname=user', 'user', ''); $pdo -> setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); $password = sha1($_POST['password'].'sad8%$9sdk'); $stmt = $pdo -> prepare('SELECT `email`, `password`,`id` FROM `users` WHERE `email` = :email AND `password` = :password'); $stmt -> bindValue(':email', $_POST['email'], PDO::PARAM_STR); $stmt -> bindValue(':password', $password, PDO::PARAM_STR); $stmt -> execute(); $count = $stmt ->rowCount(); if($count > 0) { while($row = $stmt -> fetch()) { session_regenerate_id (true); $_SESSION['status'] = true; $_SESSION['id'] = $row['id']; $_SESSION['HTTP_USER_AGENT'] = sha1($_SERVER['HTTP_USER_AGENT'].'dsd#$%^'); // last active the user ip $stmt = $pdo -> prepare('UPDATE `users` SET `ip` = :ip WHERE `id` = :id'); $stmt -> bindValue(':ip', $_SERVER['REMOTE_ADDR'], PDO::PARAM_STR); $stmt -> bindValue(':id', $row['id'], PDO::PARAM_STR); $stmt -> execute(); // header('Location: index.php'); } } } catch(PDOException $e) { echo 'Error: ' . $e->getMessage(); } } else { echo "Email error"; } } else { echo "Hasło error"; } } else { echo "Formularz error"; } ?> [PHP] pobierz, plaintext Ten post edytował seba199696** 16.11.2011, 23:02:52

Crozin Zobacz profil	16.11.2011, 23:10:21 Post #13
Grupa: Zarejestrowani Postów: 6 476 Pomógł: 1306 Dołączył: 6.08.2006 Skąd: Kraków Ostrzeżenie: (0%)	1. Po co w procesie logowania sprawdzasz poprawność formatu emaila / hasła? 2. Po nagłówku Location powinieneś przerwać działanie skryptu i wyświetlić stronę z informacją o wykonaniu przekierowania do innego URL. 3. Zamiast paskudnych, zagnieżdżonych IF-ELSE-ów, możesz napisać: [PHP] pobierz, plaintext if (!...) { } if (!...) { } // tutaj kod, gdy wszystko w porządku [PHP] pobierz, plaintext

seba199696 Zobacz profil	17.11.2011, 16:49:41 Post #14
Grupa: Zarejestrowani Postów: 119 Pomógł: 0 Dołączył: 4.01.2011 Ostrzeżenie: (20%)	Poprawiłem to Wydaje mi się że wszystko jest okej [PHP] pobierz, plaintext <?php session_start(); $password = $_POST['password']; $email = $_POST['email']; function checkout_password($password) { if(preg_match("/^(?=.[A-Z])(?=.[a-z])(?=.[0-9])(?=.[!@#$%^&()_+\|-]).{8,30}$/",$password)) return true; else return false; } function checkout_email($email) { if(preg_match('/^[a-zA-Z\.\-\_]+\@[a-zA-Z0-9\.\-\_]+\.[a-z]{2,4}$/D', $email)) return true; else return false; } if (checkout_email($email) and checkout_password($password) and isset($_POST['submit'])) { try { $pdo = new PDO('mysql:host=localhost;dbname=user', 'user', 'password'); $pdo -> setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); $passwordhash = sha1($password.'sad8%$9sdk'); $stmt = $pdo -> prepare('SELECT `email`, `password`,`id` FROM `users` WHERE `email` = :email AND `password` = :password'); $stmt -> bindValue(':email', $email, PDO::PARAM_STR); $stmt -> bindValue(':password', $passwordhash, PDO::PARAM_STR); $stmt -> execute(); $count = $stmt ->rowCount(); if($count > 0) { while($row = $stmt -> fetch()) { session_regenerate_id (true); $_SESSION['status'] = true; $_SESSION['id'] = $row['id']; $_SESSION['HTTP_USER_AGENT'] = sha1($_SERVER['HTTP_USER_AGENT'].'dsd#$%^'); header('Location: index.php'); exit; } } } catch(PDOException $e) { echo 'Error: ' . $e->getMessage(); } } else { header('Location: login.html'); exit; } ?> [PHP] pobierz, plaintext Ten post edytował seba199696* 17.11.2011, 22:23:48

cycofiasz Zobacz profil	17.11.2011, 22:12:27 Post #15
Grupa: Zarejestrowani Postów: 711 Pomógł: 127 Dołączył: 5.07.2008 Skąd: Łódź Ostrzeżenie: (0%)	Po co pętla while? Nie sądzę by było więcej userów o tym samym emailu i haśle. Podczas pisania polecam pracować z wyświetlaniem błędów typu E_NOTICE.

seba199696 Zobacz profil	17.11.2011, 22:19:56 Post #16
Grupa: Zarejestrowani Postów: 119 Pomógł: 0 Dołączył: 4.01.2011 Ostrzeżenie: (20%)	Czyli zamiast: [PHP] pobierz, plaintext while($row = $stmt -> fetch()) [PHP] pobierz, plaintext Użyć: [PHP] pobierz, plaintext $row = $stmt -> fetch(); [PHP] pobierz, plaintext ? Ten post edytował seba199696 17.11.2011, 22:20:54

Inscure Zobacz profil	18.11.2011, 16:35:14 Post #17
Grupa: Zarejestrowani Postów: 61 Pomógł: 4 Dołączył: 18.09.2010 Ostrzeżenie: (0%)	Tak -------------------- eXtreme-Fusion CMS - polski, darmowy system zarządzania treścią z rozbudowanym wsparciem technicznym.

celbarowicz Zobacz profil	18.11.2011, 18:02:33 Post #18
Grupa: Zarejestrowani Postów: 253 Pomógł: 31 Dołączył: 30.03.2009 Skąd: Szczecin Ostrzeżenie: (0%)	Podobno : $stmt -> closeCursor(); http://pl.wikibooks.org/wiki/PHP/Biblioteka_PDO

« Następny starszy · PHP · Następny nowszy »

Reply to this topic

Start new topic

1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Aktualny czas: 21.08.2025 - 05:52

Powered By IP.Board © 2025 IPS, Inc.
All changes by PHP.pl Administrators

Hosting zapewnia

NQ.pl hosting, trac, svn