[HTML][MySQL][PHP]System logowania Opcje

[viamarimar]

1. Skrypt z jakiegos powodu gdy dodalem hash przestal dzialac?
2. Co mozna dodac jeszcze aby logowanie bylo bezpieczniejsze
3. Komunikat o zlym hasle nigdy nie wystepuje?
Nawet jak login jest ok a haslo bledne wywala ze odrazu konta nie ma w bazie czyli komunikat =1

[PHP] pobierz, plaintext 
echo "Złe hasło, proszę spróbować ponownie";
    header("location: index.php?komunikat=2");
[PHP] pobierz, plaintext 

Jak rozwiazac kwestie tego zeby wgl zaczelo logowac, rejestracja uzywa tego samego hasha, no i punkt drugi tu juz inwencja i pomysly.

[PHP] pobierz, plaintext 
...
<?php
if(isset($_POST['loguj']) && ($_POST['loguj'])==1) {
 
//filtrowanie	
   $_POST['login']=mysql_real_escape_string(addslashes(htmlspecialchars(trim($_POST['login']))));
   $_POST['haslo']=mysql_real_escape_string(addslashes(htmlspecialchars(trim($_POST['haslo']))));
 
 
$sol = md5("abc"); //sól użytkownika pobierana z bazy
$sol2 = sha1("def"); //sól dodatkowa
$hash = hash('sha512', $_POST['haslo'] . $sol  . $sol2);
 
 
$userExists = mysql_fetch_array(mysql_query("SELECT COUNT(*) FROM users WHERE login = '".$_POST['login']."' AND pass = '$hash'"));
 
    if ($userExists[0] == 0) {
        // Użytkownik nie istnieje w bazie
        header("location: index.php?komunikat=1");
    }
	 else {
        // Użytkownik istnieje
        $_SESSION['zalogowany'] = true;
        $_SESSION['login'] = $_POST['login'];
 
		   $user = $_SESSION['login'];
		    mysql_query("UPDATE `users` SET `logowanie`=NOW(),`online`='1' WHERE login='$user'") or die(mysql_error()); 
 
		header('Location: index.php');
 
        echo '<p class="success">Zostałeś zalogowany. Możesz przejść na <a href="index.php">stronę główną</a></p>';
    }
}
else{
 
?>
<form class="form-signin" action="s_logowanie.php" method="POST">
						<div class="form-group">
							 <label>Login</label><input class="form-control" name="login" type="text" required />
						</div>
						<div class="form-group">
							 <label>Haslo</label><input class="form-control" name="haslo" type="password" required />
						</div>
						<div class="row">
				<div class="col-xs-6 col-md-6"><input type="reset" value="Wyczyść" class="btn btn-warning btn-block btn-sm" ></div>
				<div class="col-xs-6 col-md-6">
				<input type="hidden" name="loguj" value="1" />
				<input type="submit"  value="Zaloguj" class="btn btn-success btn-block btn-sm">
				</div>
			</div>
</form>
 
 
 
 
 
<?php
}
...
?>
[PHP] pobierz, plaintext 

Ten post edytował viamarimar 29.11.2014, 15:48:55

[Daimos]

1. To jakbyś zadał pytanie w serwisie typu: internet przestał działać. Błędy? Problemy? Cokolwiek?
2. Jedna sól Ci wystarczy, ewentualnie jedną trzymaj w bazie, a drugą gdzieś w pliku. Poczytaj też o zabezpieczeniach, generowaniu soli.
3. Nie zapomniałeś o tym?:

[PHP] pobierz, plaintext 
if(isset($_GET['komunikat']) && $_GET['komunikat'] == 1)
{
    echo 'komunikat błędu';
}
[PHP] pobierz, plaintext 

htmlspecialchars na hasło to tragiczny pomysł. Masz świadomość, że jeśli użytkownik będzie miał hasło typu <> to nie zadziała? Chyba, że będziesz to też zamieniał przy rejestracji, ale nie ma to sensu.
Dodatkowo:

[PHP] pobierz, plaintext 
$_SESSION['login'] = $_POST['login'];
[PHP] pobierz, plaintext 

Wiesz jak będzie wyglądał Twój login w zmiennej session? Będzie zmodyfikowany o addslashes i htmlspecialchars. Zamiast liczyć użytkowników zapytaniem z COUNT, po prostu spróbuj go pobrać i dane z bazy, podstawiaj do sesji.

Ten post edytował Daimos 29.11.2014, 16:09:45

[viamarimar]

Wyglada to tak w tej chwili ale teraz przepuszcza wszystko oO.. mamsakra:<

[PHP] pobierz, plaintext 
if(isset($_POST['loguj']) && ($_POST['loguj'])==1) {
 
//filtrowanie	
   $_POST['login']=mysql_real_escape_string(addslashes(trim($_POST['login'])));
   $_POST['haslo']=mysql_real_escape_string(addslashes(trim($_POST['haslo'])));
 
 
//solenie hasla na podstawie bazy i soli ze skryptu   
$zap1 = mysql_query("SELECT token FROM users WHERE login = '".$_POST['login']."' AND aktywny='1' ") or die(mysql_error()); 
$wiersz=mysql_fetch_array($zap1);
 
$sol = $wiersz['token']; //sól użytkownika pobierana z bazy
$sol2 = sha1("abcdef"); //sól dodatkowa
$hash = hash('sha512', $_POST['haslo'] . $sol  . $sol2);
 
 
$zap2 = mysql_query("SELECT login, haslo FROM users WHERE login = '".$_POST['login']."' AND haslo = '$hash' AND aktywny='1' ") or die(mysql_error()); 
 
     if(mysql_fetch_array($zap2)>0) {
        // Użytkownik nie istnieje w bazie
        header("location: index.php?komunikat=1");
    }
	 else {
        // Użytkownik istnieje
        $_SESSION['zalogowany'] = true;
        $_SESSION['login'] = $_POST['login'];
 
		   $user = $_SESSION['login'];
		    mysql_query("UPDATE `users` SET `logowanie`=NOW(),`online`='1' WHERE login='$user'") or die(mysql_error()); 
 
		 header("location: index.php?komunikat=2");
 
    }
}
[PHP] pobierz, plaintext 

O komunikatach nie zapomnialem sa one tez:

[PHP] pobierz, plaintext 
//1
if (isset($_GET['komunikat']) && mysql_escape_string($_GET['komunikat'] == '1') && (int)($_GET['komunikat'])) {
     echo '<div class="alert alert-danger" alert-dismissible" role="alert">
  <button type="button" class="close" data-dismiss="alert"><span aria-hidden="true">×</span><span class="sr-only">Close</span></button>
  <strong>Błąd!</strong> Podałeś błędne dane, spróbuj ponownie!
</div>';
 } 
//2
if (isset($_GET['komunikat']) && mysql_escape_string($_GET['komunikat'] == '2') && (int)($_GET['komunikat'])) {
     echo '<div class="alert alert-success" alert-dismissible" role="alert">
  <button type="button" class="close" data-dismiss="alert"><span aria-hidden="true">×</span><span class="sr-only">Close</span></button>
  <strong>Sukces!</strong> Zostałeś zalogowany!
</div>';
 }
//3
if (isset($_GET['komunikat']) && mysql_escape_string($_GET['komunikat'] == '3') && (int)($_GET['komunikat'])) {
     echo '<div class="alert alert-success" alert-dismissible" role="alert">
  <button type="button" class="close" data-dismiss="alert"><span aria-hidden="true">×</span><span class="sr-only">Close</span></button>
  <strong>Sukces!</strong> Konto zostało utworzone!
</div>';
 } 
[PHP] pobierz, plaintext 

pomoze ktos zrobic "cos" z tym tak zeby dzialalo to jak normalne logowanie a nie "otwarte drzwi" z napisem wejdz i bierdz co chcesz..

Ten post edytował viamarimar 29.11.2014, 23:17:27

[borabora]

[PHP] pobierz, plaintext 
 if(mysql_fetch_array($zap2)>0) {
[PHP] pobierz, plaintext 

na

[PHP] pobierz, plaintext 
if(mysql_num_rows($zap2)== 0){
[PHP] pobierz, plaintext 

[viamarimar]

po zmianie nie lapie nic ;/

[PHP] pobierz, plaintext 
$sql = mysql_num_rows(mysql_query("SELECT * FROM `user` WHERE `login` = '".$_POST['login']."' AND `haslo` = '$hash'"));
if ($sql == 1) { 
[PHP] pobierz, plaintext 

nawet tak nic nie zweraca ;/

cos z tym haszowaniem jest nie tak? bo odkad zaczolem w tym mieszac to cos nie dziala?
------
Czy to dobrze dziala?

[PHP] pobierz, plaintext 
//solenie hasla na podstawie bazy i soli ze skryptu   
$zap1 = mysql_query("SELECT token FROM users WHERE login = '".$_POST['login']."' AND aktywny='1' ") or die(mysql_error()); 
$wiersz=mysql_fetch_array($zap1);
 
$sol = $wiersz['token']; //sól użytkownika pobierana z bazy
$sol2 = sha1("abcdef"); //sól dodatkowa
$hash = hash('sha512', $_POST['haslo'] . $sol  . $sol2);
[PHP] pobierz, plaintext 

w rejestracji jest zapisywany losowy ciaf w pole token , tu jest to pobierane i zapisywane pod $sol , zmienna $sol2 to takjaby sol skryptowa dodatkowa, calosc czyli funkcjie hash wynalazlem gdzies w zabezpieczeniach netowych, ale czy to dobra konstrukcja? Moze w tym jest problem?
Bynajmniej tak mi sie wydaje ze to tak powinno dzialac.

[PHP] pobierz, plaintext 
$md5 = md5($_POST['haslo']);
$zapytanie = "SELECT * FROM users WHERE login='".$_POST['login']."' AND haslo='$md5';";
$wykonaj = mysql_query($zapytanie) or die(mysql_error()); 
[PHP] pobierz, plaintext 

czemu gdy dokladam jakakolwiek blokade hasla to sypie sie cale logowanie i poprostu nie da sie logowac:< najprostsze md5 nie dziala
juz nawet szyfrowalem z bazy a nei z poziomu rejestracji i tez logowanie nie dziala..? wtf?

Ten post edytował viamarimar 30.11.2014, 00:03:20

[Daimos]

Nie wiemy jak wyglądają Twoje konta użytkowników, żeby sprawdzić poprawność danych. Ogólnie odpuść sobie zabezpieczenie z użyciem soli. Zrób normalne logowanie, działające, a później to zmodyfikujesz krok po kroku. Możesz od razu sprawdzić jednym zapytaniem, czy hasło się zgadza, doklejając do tego sól (CONCAT).

Wracając do problemu z samym md5. Pokaż bazę, konto użytkownika. Może za mało znaków masz na hashe w kolumnie? Zrób sobie prostą aplikację, gdzie nie przyjmujesz nic postem. Wstaw wszystko na sztywno, sprawdź co robisz nie tak

[viamarimar]

...............................

DZIEKUJE Daimos nie wpadlem na tak banalna rzecz, meczylem i stalem nad tym x czasu! Chodzilo o miejsce na haslo, toz to takie glupie ze az mi sie teraz smiac chce ..

Kwestia tylko tego ile potrzebuje miejsca +- okolo zeby za duzo nie dac bo moze lepiej nie
kodowane mniejwiecej w ten sposob:

[PHP] pobierz, plaintext 
$sol = md5("abc"); //sól użytkownika pobierana z bazy
$sol2 = sha1("def"); //sól dodatkowa
$hash = hash('sha512', $_POST['haslo'] . $sol . $sol2);
[PHP] pobierz, plaintext 

Ten post edytował viamarimar 30.11.2014, 15:44:12

[Daimos]

To wcale nie takie głupie, każdemu się może zdarzyć ostatnio też się na tym zatrzymałem, zwykła literówka, jeden znak mniej na kolumnie i może być problem. Jeśli stosujesz sha512 to daj kolumnie char 128

Ten post edytował Daimos 30.11.2014, 18:36:45

[viamarimar]

Co stosuje bo 128 wydaje sie za malo:


1. "sol1" Napierw generuje losowy klucz dla kazdego uzytkownika inny

[PHP] pobierz, plaintext 
//losowy ciag     
$s = substr(str_shuffle(str_repeat('ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789',5)),0,10);
[PHP] pobierz, plaintext 

2. klucz ten jest szyfrowany w md5
3. "sol2" 10 znakowa szyfrowana sha1
4.haslo jest haszowane i dopisywane jest sol1 +sol2
5. haszowana calosc w md5

Dlaczego tak sie bawie wgl? Bo mam duzo porabanych kolegow ktorzy chca mi udowodnic jacy to oni nie sa "super hakierzy".

Gdzies czytalem ze na samo md5 potrzeba 32 znaki w varchar?
na sha1 nie wiem? ktos wie?
Lepiej haslo trzymac w char czy varchar jaka roznica?
Wiec ile najlepiej i nie za malo znakow? (dla takiego systemu)

Ten post edytował viamarimar 1.12.2014, 09:41:36

[Turson]

sha1 ma 40 co przeczytałbyś w manualu php gdybyś chociaż zajrzał
http://stackoverflow.com/questions/59667/w...-varchar-in-sql

[Daimos]

Dlaczego tak sie bawie wgl? Bo mam duzo porabanych kolegow ktorzy chca mi udowodnic jacy to oni nie sa "super hakierzy".

Na tych kolegów wystarczy Ci pewnie samo md5. Standardowo i dużo lepiej kiedy używają ludzie sha1. Jeśli chcesz zabezpieczyć się lepiej, sha512, do tego klucz w plikach i klucz w bazie Ci dobrze zabezpieczy hasła. Ale najważniejsza jest aplikacja bez dziur, bo właśnie one, oraz słabe hasła, są najpopularniejszą bramą dla potencjalnych włamywaczy.
Poczytaj na tym forum, jest dużo o zabezpieczeniach, a temat kryptografii jest jak morze, wystarczy zerknąć w google.

[Turson]

Daimos, to nie mój cytat

[Daimos]

Daimos, to nie mój cytat

Oj no wiadomo, źle coś kliknąłem