Dane dla zalogowanych - pytanie o bezpieczeństwo Opcje

[gandziorz]

Witam,
Jestem w trakcie pisania funkcji logowania i weryfikacji czy ktoś jest zalogowany.

Czy możecie pomóc mi określić bezpieczeństwo mojego systemu?

LOGOWANIE - przed wprowadzeniem danych do funkcji login wcześniej weryfikuje dane wprowadzone przez klienta

[PHP] pobierz, plaintext 
function login($login, $pass) {
global $mysqli;
$login = mysqli_real_escape_string($mysqli, $login);
 
//sprawdzamy czy istnieje login
$query = "SELECT * FROM `rds_admin` WHERE `login` ='". $login ."'";
$result = mysqli_query($mysqli, $query);
$cnt = mysqli_num_rows($result);
//jezeli brak wynikow zwracamy FALSE
if ($cnt == 0) {
return false;
} else {
//sprawdzamy czy haslo zgadza się z tym zapisanym w mysql
$row = mysqli_fetch_array($result, MYSQLI_ASSOC);
 
if ($row['password'] == $pass) {
//tworzymy hash który będzie zapisany w sesji
$options = [
    'cost' => 12,
];
$hash = password_hash($pass, PASSWORD_BCRYPT, $options);
$_SESSION["lo"] = $login;
$_SESSION["lh"] = $hash;
return true;
} else {
return false;
	}
}}
 
[PHP] pobierz, plaintext 

WERYFIKACJA - zwraca true lub false w zależności czy ktoś jest zalogowany

[PHP] pobierz, plaintext 
//sprawdzanie czy ktoś jest zalogowany, zwraca TRUE w przypadku kiedy wszystko się zgadza i FALSE w przypadku kiedy nie
function auth () {
global $mysqli;
$login = $_SESSION['lo'];
$hash = $_SESSION['lh'];
$login = mysqli_real_escape_string($mysqli, $login);
 
if (empty($login)) {
return false;
} else {
//pobieranie danych z mysql
$query = "SELECT * FROM `rds_admin` WHERE `login` ='". $login ."'";
$result = mysqli_query($mysqli, $query);
$cnt = mysqli_num_rows($result);
if ($cnt == 0) {
return false;
} else {
$row = mysqli_fetch_array($result, MYSQLI_ASSOC);
 
if (password_verify($row['password'], $hash)) {
return true;
} else {
return false;
}
 
}
}}
[PHP] pobierz, plaintext 

WYLOGOWANIE

[PHP] pobierz, plaintext 
function logout() {
session_unset();
}
[PHP] pobierz, plaintext 

Na stronie pliki które chcemy ukryć dla niezalogowanych na górze wówczas dajemy komendę:

[PHP] pobierz, plaintext 
if (!(auth())) {
header('Location: index.php?a=loguj');
exit;
}
[PHP] pobierz, plaintext 

Ten post edytował gandziorz 29.11.2015, 20:56:46

[rad11]

Przydało by się jeszcze bindowanie danych.
I pytanie jakim sposobem hashujesz hasło ?

Ten post edytował rad11 29.11.2015, 21:33:05

[gandziorz]

Przydało by się jeszcze bindowanie danych.
I pytanie jakim sposobem hashujesz hasło ?

http://php.net/manual/en/function.password-hash.php

Rozwiniesz myśl o bindowaniu danych?

Ps. Używam mysqli ponieważ jest szybsze niż PDO. Za to w projektach gdzie jest mysql/postresql używam PDO

[Pyton_000]

hasło w sesii, pomyłka. Na co Ci to?

Hasło w BD plain tekstem? Lepiej idź skoczyć z mostu.

[gandziorz]

hasło w sesii, pomyłka. Na co Ci to?

Hasło w BD plain tekstem? Lepiej idź skoczyć z mostu.

W sesji zapisany jest tylko hash. Jako tako hasła tam nie ma.
W bazie owszem hasło nie jest zakodowane.

Ten post edytował gandziorz 29.11.2015, 22:10:37

[Comandeer]

Rozwiniesz myśl o bindowaniu danych?

http://php.net/manual/en/mysqli.quickstart...-statements.php

Hasło w sesji Ci na nic (hash też), więc tego nie przechowuj. Natomiast w bazie danych zamiast hasła przechowuj hash.

[gandziorz]

http://php.net/manual/en/mysqli.quickstart...-statements.php

Hasło w sesji Ci na nic (hash też), więc tego nie przechowuj. Natomiast w bazie danych zamiast hasła przechowuj hash.

To gdzie wysłać dane jak nie w sesji? Cookie?

[Comandeer]

W cookie to już de facto podanie tego na talerzu.
Nie, po prostu hasła ani jego hashu nie trzyma się w sesji. Bo po co Ci to tam? A samą weryfikację ograniczyłbym do sprawdzenia czy są ustawione odpowiednie zmienne sesyjne.

[gandziorz]

W cookie to już de facto podanie tego na talerzu.
Nie, po prostu hasła ani jego hashu nie trzyma się w sesji. Bo po co Ci to tam? A samą weryfikację ograniczyłbym do sprawdzenia czy są ustawione odpowiednie zmienne sesyjne.

Czyli do sesji wysyłam zamiast zakodowanego hasła... ?
Jeżeli dam informację w postaci zwrotu id użytkownika zapisanego w mysql i informacje czy ktos jest zalogowany, np.
$_SESSION['id'] = "id uzytkownika w mysql";
$_SESSION['log'] = true;

To nie będzie to zbyt narażone że ktoś podmieni "id" i w ten sposób zaloguje się na obce konto?

[Damonsson]

Do $_SESSION w normalnym przypadku się nie dostaniesz.

Ten global $mysqli; Może się kiedyś na Tobie zemścić, miej to na uwadze.

No i jak przedmówcy pisali, hasła NIGDZIE nie trzymasz plain textem. Hasło trzymasz tylko tam gdzie jest to absolutnie niezbędne, czyli w bazie danych w tym przypadku.