[PHP]Logowanie Opcje

[kamilo818]

Witam,
czy taki system logowania jest bezpieczny?
Ewentualnie co jeszcze dodać/zmienić aby ulepszyć go?

login_form.php

[PHP] pobierz, plaintext 
                <form action="login.php" method="POST" class="form">
 
			<input type="text" id="login"/><br>
			<input type="password" id="password"/><br>
			<input type="submit" value="Login"/>
 
		</form>
 
<script>
$('.form').on('submit', function(e) {
 
	var login = $('#login').val();
    var password = $("#password").val();
    var dataString = 'login='+login+'&password='+ password;
 
	$.ajax({
		type: 'post',
		url: ('login.php'),
		data: dataString,
 
		beforeSend: function () {
			$('body').html('wait...');
		},
		success: function (obj) {
			$('body').html(obj);
		}
	});	
 
 
    e.preventDefault();
 });
</script>
login.php
[php]
<?php
ob_start();
session_regenerate_id(true);
$login    = $_POST['login'];
$password = $_POST['password'];
 
if($_SERVER['REQUEST_METHOD'] == 'POST') { 
	if(empty($login) || empty($password)){
		die ( 'Wypełnij wszystkie dane.' );
	}else{
		include('config.php');
 
		connect($adres, $user, $pass, $baza);
 
		$login     = trim(strip_tags(mysqli_real_escape_string($link, $login)));
		$password  = hash('sha1', trim(strip_tags(mysqli_real_escape_string($link, $password))));
 
		$result = mysqli_query($link, "SELECT login,ip,mail FROM logowanie_users WHERE login='$login' AND password='$password'");
		$count = mysqli_num_rows($result);
		$row = mysqli_fetch_array($result);
 
		$new_ip = $_SERVER['REMOTE_ADDR'];
 
		if($count == 1){
 
			$ip_array = explode(',',$row['ip']);
			if(!in_array($new_ip,$ip_array)){
 
				$add_ip = $row['ip'].','.$new_ip;
				$mysql_update_ip = mysqli_query($link, "UPDATE logowanie_users SET ip='$add_ip' WHERE login='$login' AND password='$password'");
				echo "Logowanie z nieznanego adresu IP. W celu dodania adresu IP do zaufanych kliknij w link podany w e-mailu i zaloguj się ponownie!";
 
			}else{
				session_start();
				$_SESSION['ip']   = $new_ip;
				$_SESSION['nick'] = $login;
				setcookie('islogged', 'islogged', time() + 3600);
				header('Location: userpanel.php');
			}
 
		}else{
			echo 'Brak użytkownika w bazie';
		}
 
		disconnect($adres, $user, $pass, $baza);
	}
}
ob_flush();
?>
[PHP] pobierz, plaintext 

register_form.php

[PHP] pobierz, plaintext 
                <form action="register.php" method="POST" class="form">
 
			<input type="text" id="login"/><br>
			<input type="password" id="password"/><br>
			<input type="password" id="password_confirm"/><br>
			<input type="email" id="email"/><br>
			<input type="submit" value="Register"/>
 
		</form>
 
<script>
$('.form').on('submit', function(e) {
 
	var login = $('#login').val();
    var email = $("#email").val();
    var password = $("#password").val();
    var password_confirm = $("#password_confirm").val();
    var dataString = 'login='+login+'&email=' + email + '&password=' + password + '&password_confirm=' + password_confirm;
 
	$.ajax({
		type: 'post',
		url: ('register.php'),
		data: dataString,
 
		beforeSend: function () {
			$('body').html('wait...');
		},
		success: function (obj) {
			$('body').html(obj);
		}
	});	
 
 
    e.preventDefault();
 });
</script>
[PHP] pobierz, plaintext 

register.php

[PHP] pobierz, plaintext 
<?php
include('config.php');
 
$login    = $_POST['login'];
$password = $_POST['password'];
$password_confirm = $_POST['password_confirm'];
$email    = $_POST['email'];
 
if($_SERVER['REQUEST_METHOD'] == 'POST'){
	if(empty($login) || empty($password) || empty($password_confirm) || empty($email)){
		die ( 'Wypełnij wszystkie dane.' );
	}elseif(!filter_var($email, FILTER_VALIDATE_EMAIL)){
		die ('Nie poprawny adres E-mail.' );
	}elseif($password!=$password_confirm){
		die('Hasła niezgodne!');
	}else{
		connect($adres, $user, $pass, $baza);
 
		$login     = trim(strip_tags(mysqli_real_escape_string($link,$login)));
		$password  = hash('sha1', trim(strip_tags(mysqli_real_escape_string($link,$password))));
		$email     = trim(strip_tags(mysqli_real_escape_string($link,$email)));
		$ip        = $_SERVER['REMOTE_ADDR'];
		$now	   = date("Y-m-d H:i:s");
 
		$sql = "SELECT login FROM logowanie_users WHERE login='$login'";
		$result = mysqli_query($link, $sql);
		$count = mysqli_num_rows($result);
		if($count!=0){
			die('Taki login już istnieje');
		}
 
		$sql = "SELECT mail FROM logowanie_users WHERE mail='$email'";
		$result = mysqli_query($link, $sql);
		$count = mysqli_num_rows($result);
		if($count!=0){
			die('Taki e-mail już istnieje');
		}
 
		mysqli_query($link,"INSERT INTO logowanie_users SET login='$login', password='$password', mail='$email',date='$now',ip='$ip'");
 
		if(mysqli_affected_rows($link) == 1){
			echo 'Zostałeś pomyślnie zarejestrowany';
		}
 
		disconnect($adres, $user, $pass, $baza);
	}
}
?>
[PHP] pobierz, plaintext 

userpanel.php

[PHP] pobierz, plaintext 
<?php
session_start();
if(empty($_COOKIE['islogged'])){
	header('Refresh: 2; url=login_form.php');
	die( 'Czas sesji wygasł. Proszę zalogować się ponownie.<br> Za chwilę nastąpi przepierowanie');
}
 
if(isset($_SESSION['nick']) && isset($_SESSION['ip']) && $_SESSION['ip']==$_SERVER['REMOTE_ADDR']){
	echo '<p>Treść dla zalogowanych</p>';
	echo '<a href="logout.php">Wyloguj</a>';
}else{
	echo 'Nie jesteś zalogowany. Przejdź do <a href="login_form.php">Formularza logowania</a>.';
}
?>
[PHP] pobierz, plaintext 

[daniel1302]

Myślę, że jest dobrze napisany.
Czemu nie napiszesz funkcji która będzie ci czyściła ciągi znakowe np:

[PHP] pobierz, plaintext 
function quoteString($string) {
return trim(strip_tags(mysqli_real_escape_string($string)));
}
[PHP] pobierz, plaintext 

Ale proponuje przesiąść się na jakis adapter do bazy np PDO jak nie chcesz używać dodatkowych bibliotek.

[Pyton_000]

[PHP] pobierz, plaintext 
$login    = $_POST['login'];
$password = $_POST['password'];
 
if($_SERVER['REQUEST_METHOD'] == 'POST') { 
[PHP] pobierz, plaintext 

Zła kolejność, jak nie będzie POST to sypnie Notice


Ten post edytował Pyton_000 26.01.2015, 08:43:15

[kamilo818]

Dzięki panowie. Zaraz obie sugestie zastosuje.

[viking]

A po co z hasła usuwasz trim i strip_tags? To może wyciąć użytkownikowi sporą ilość znaków jakie wprowadził.
Tego nie rozumiem UPDATE logowanie_users SET ip='$add_ip' WHERE login='$login' AND password='$password' Dziwna strasznie tabela.
setcookie - http only

[kamilo818]

Faktycznie, wogole to walidację jeszcze wprowadze hasła i loginu do tego.

'UPDATE logowanie_users SET ip='$add_ip' WHERE login='$login' AND password='$password''
To jest tak tylko testowo wprowadzone.
Docelowo ma to działać tak że jeśli user loguje się z innego ip niż jest w bazie to wyrzuca mu komunikat że ktos z takiego ip probowal sie logować i jeśli to on to musi dodać ip do zaufanych.
jak zatwierdzi to ip zostanie dodane do tabeli = UPDATE logowanie_users SET ip='$add_ip' WHERE login='$login'

setcookie - http only - już dodaje

[zidek]

eee, jak ktoś loguje się na zmianę na smartfonie, laptopie i jeszcze na PC to za każdym razem wyskoczy mu alert, że loguje się z nowego urządzenia?

[Pyton_000]

Czytać umie? Stanie się tak tylko przy pierwszym logowaniu z nowego IP.

Choć fakt rozwiązanie głupie bo ktoś kto ma zmienne IP codziennie będzie miał alert.

[zidek]

Czytać umie? Stanie się tak tylko przy pierwszym logowaniu z nowego IP.

Choć fakt rozwiązanie głupie bo ktoś kto ma zmienne IP codziennie będzie miał alert.

Lol, chyba właśnie o tym pisałem... I kto nie umie czytać :|

[kamilo818]

Fakt zmienne IP to bedzie niedogodność.
Ale to jest rozwiązanie do tego konkretnego przypadku.