Zabezpieczenie skryptu PHP Opcje

[Baku12345]

Witam
Mam skrypt co do którego mam zastrzeżenia jeśli chodzi o bezpieczeństwo. Nie wrzucę go ze względu na to, że jest zbyt długi. Wrzucę natomiast jego uproszczoną wersję by odnieść się do problemu. A wygląda on tak

[PHP] pobierz, plaintext 
<?php
    session_start();
 
    $now = time();
    $session_data = "";
 
    $pdo = new PDO('mysql:host=localhost; port=3306; dbname=test', 'root', '');
 
    $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
    $pdo->exec("SET NAMES 'utf8'");
 
    if (isset($_POST['login']) && isset($_POST['password']))
        {
            if (!empty($_POST['login']) && !empty($_POST['password']))
                {
                    $login = addslashes(strip_tags($_POST['login']));
                    $password = hash_hmac('sha256', $_POST['password'], '2NYbH5qS8J');
 
                    $stmt = $pdo->prepare("SELECT * FROM users WHERE login = :login && password = :password");
                    $stmt -> execute(array(':login' => $login, ':password' => $password));
 
                    if ($row = $stmt->fetch(PDO::FETCH_ASSOC))
                        {
                            $_SESSION[$session_data] = array('id' => $row['id'], 'time' => $now, 'user' => $row['name']);
                        }
                    else
                        {
                            echo "Podałeś błędny login lub hasło";
                            exit;
                        }
                }
            else
                {
                    echo "Nie wprowadziłeś wszystkich danych";
                    exit;
                }
        }
 
    $max_idle_time = 900;
    if (isset($_SESSION[$session_data]) && !empty($_SESSION[$session_data]))
        {           
            if ($now - $_SESSION[$session_data]['time'] < $max_idle_time)
                {                    
                    $_SESSION[$session_data]['time'] = $now;
                    echo "Jesteś zalogowany";
// tu następuje pobranie z bazy danych danych przeznaczonych dla użytkownika o danym id a następnie ich wyświetlenie
                }
            else
                {
                    echo "Przekroczono czas bezczynności";
                    session_destroy();
                }
        }
    else
        {
            echo '<h1>Panel Użytkownika</h1>
                  <form method="post" action="">
                    <div>
                        <input type="text" name="login" placeholder="Twój login" value="">
                    </div>
                    <div>
                        <input type="password" name="password" placeholder="Twoje hasło" value="">
                    </div>
                        <button type="submit">Zaloguj się</button>
                   </form>';
        }
?>
[PHP] pobierz, plaintext 

Skrypt działa dobrze. Przy pierwszym wejściu na stronę przechodzimy na koniec kodu do formularza, ponieważ zmienna login, password i session nie istnieją.
Jeżeli wyślemy login, hasło i skrypt sprawdzi, że nie są puste to jest porównywany hash z tym znajdującym się w bazie. Dalej jeśli się zgadzają jest tworzona zmienna sesyjna, w której jest id, czas i nazwa użytkownika. W drugiej części skrypt sprawdza, że istnieje sesja między innymi z id użytkownika i wyświetla dane przeznaczone tylko dla niego.

Problem w tym, że jeżeli nie znam loginu ani hasła użytkownika to też mogę się dostać do danych przeznaczonych tylko dla danego użytkownika. Wystarczy, że w sposób "sztuczny" utworzę zmienną sesyjną z id i zmieniając tylko id mogę sobie skakać z konta na konto.

Pytanie jak zabezpieczyć taki skrypt?

PS: Trafiłem przypadkiem na ten błąd robiąc kopię tego skryptu, ale z podpiętą inną bazą innym loginem i hasłem. Odpaliłem jeden skrypt podałem login i hasło, a potem nie zamykając przeglądarki odpaliłem drugi skrypt z całkiem inną bazą loginem i hasłem w niej (tylko id użytkownika się zgadzało) i byłem zalogowany na obu skryptach. Mogłem sobie zmieniać id użytkownika w jednym skrypcie, a w drugim byłem zalogowany na tym użytkowniku o danym id. Wnioskuję więc, że każdy mógłby wysłać zmienną sesyjną z id i by został wpuszczony i by mu się wyświetliły dane tego użytkownika.

PS2: Po linii 39 następuje sprawdzenie czy została utworzona zmienna sesyjna między innymi z id użytkownika, a w linii 46 jest select który pobiera dane przeznaczone dla użytkownika o tym id. I właśnie tu jest luka, którą nie wiem jak załatać, jedyne co mi przychodzi do głowy to ponowne sprawdzenie czy nazwa użytkownika i hasło się zgadzają, ale wtedy jaki sens ma kod przed linią 39? Mam nadzieję, że jasno to opisałem W skrócie macie 2 kopie tego skryptu logujecie się na jednej to w drugiej jesteście zalogowani mimo, że hasła użytkownika w bazie podpiętej do drugiego skrypcie nie znacie. Prościej nie umiem

Ten post edytował Baku12345 4.03.2017, 21:40:30