Witam,
czy taki skrypt jest bezpieczny ? Czy można go łatwo złamać przez wykrozystanie jakiegoś myku ?
login.php
<?
function logowanie()
{
echo(\"<form method=\"POST\">n <h1> Zaloguj sie! </h1><br>n
User: <input type=\"text\" name=\"login\"><br>n
Pass: <input type=\"password\" name=\"haslo\"><br>n
<input type=\"submit\" name=\"submit\" value=\"Zaloguj\"><br>n
<br>
</form>n\");
}
{
logowanie();
}
else
{
$sql=\"SELECT * FROM administratorzy WHERE admin = '$login'\";
{
$user_pass=$row[\"user_pass\"];
$user_name=$row[\"user_name\"]; $zmienna_używana_w_skrypcie=$komórka[\"nazwa_komórki_ze_sql\"];
$ban=$row[\"ban\"];
if (($haslo != md5($user_pass)) || ($login != $user_name)) # jeżeli hasło / login się nie zgadzajš {
echo(\"Zly login/pass\"); # pokazuje \"Zly login/pass\" oraz logowanie (z wczesniej zadeklarowanej funkcji:) logowanie();
} else { # w innym przypadku (tj. login i pass sš prawdziwe)
session_register(\"login\"); # rejestrowanie w sesji \"loginu\", \"ban\" (czy gostek ma bana czy nie 
\" if ($ban == 1) # jeżeli user ma bana to ....
{
echo(\"Masz bana. <br> <pre> Error 403 <br> Brak dostępu do zasobów </pre>\"); } else { # jeżeli nie ma bana to pokazuje mu się index.php
header(\"Location: zarzadzanie_admin.php?\" . SID); # SID = Session ID (takie cosik w adresie echo(\"Jeżeli Ci się nie wywietliła strona kliknij <a href=\"zarzadzanie_admin.php\">tutaj</a>\"); }
}
}
}
?>
header innych plików:
<?
if (!isset($_SESSION[\"login\"])) {
header(\"Location: login.php\"); if ($_SESSION[\"ban\"] == 1)
{
echo(\"Masz bana. <br> <pre> Error 403 <br> Brak dostępu do zasobów </pre>\"); } }
?>
Co o tyym sądzicie ? Od razu zaznaczam że skrypt ten nie jest mój.
MySQL 4.0.15 | PHP 4.3.3 | Apache 1.3.28 | Kwrite | phpMyAdmin 2.5.6-rc1 | Linux MDK 10.1 pp
Skrypt logowania - prośba o sprawdzenie
