Skrypt logowania a bezpieczeństwo Opcje

[Axadiw]

Witam,

Wzialem sie ostatnio za skrypt logowania na moją stronke, jednak nie wiem czy jest on dostatecznie bezpieczny(nie znam sie na exploitach itp, wiec nie wiem jak go zlamac:P).
Kolejnym problemem jest dodanie pola "Zapamiętaj mnie", zeby informacje ze ktos jest zalogowany byly przechowywane nawet po restarcie kompa itd.
Nie znam sie na sesjach, wiedze bralem z paru tutoraiali, i wyszlo cos takiego.

BTW. Jak zrobic tak fajnie, ze identyfikator sesji jest przekazywany wraz z adrsem strony(metoda GET), czy cookies są wystarczająco bezpieczne?

Skrypt przechowuje informacje w MySql, tablica wyglada tak(export z phpmyadmin)

[SQL] pobierz, plaintext 
CREATE TABLE `users` (
  `nr` int(20) NOT NULL AUTO_INCREMENT,
  `login` varchar(20) NOT NULL DEFAULT '',
  `plec` varchar(20) NOT NULL DEFAULT '',
  `haslo` varchar(200) NOT NULL DEFAULT '',
  `data` date NOT NULL DEFAULT '0000-00-00',
  `email` varchar(50) NOT NULL DEFAULT '',
  `imie` varchar(50) NOT NULL DEFAULT '',
  `nazwisko` varchar(50) NOT NULL DEFAULT '',
  `ip` varchar(15) NOT NULL DEFAULT '',
  `user_level` smallint(6) NOT NULL DEFAULT '0',
  PRIMARY KEY  (`nr`)
) TYPE=MyISAM AUTO_INCREMENT=50 ;
[SQL] pobierz, plaintext 

Skrypt rejestracji (index.php?mode=register)

[PHP] pobierz, plaintext 
<?php
function verifyEmail($email) {
	 $email = strtolower($email);
	return ereg("^[a-z0-9_.-]+@([a-z0-9_-]+.)+[a-z]{2,}$", $email);
}
 
if (isset($_POST['plec']) AND isset($_POST['uname']) AND isset($_POST['passwd'])AND isset($_POST['passwd1']) AND isset($_POST['email'])AND  isset($_POST['imie'])AND isset($_POST['nazwisko'])AND isset($_POST['ip']) )
{
		$uname = $_POST['uname'];
		$email = $_POST['email'];
		$imie = $_POST['imie'];
		$nazwisko = $_POST['nazwisko'];
		$ip = $_POST['ip'];
		$passwd = $_POST['passwd'];
		$passwd1 = $_POST['passwd1'];
		$plec = $_POST['plec'];
		   if ($uname && $passwd && $passwd1 && $email  && $imie && $nazwisko && $ip)
	{
	$data = date("Y-m-d");
		$uname = stripslashes($uname);
		$uname = ereg_replace(" ", "", $uname);
		$email = stripslashes($email);
		$imie = stripslashes($imie);
		$nazwisko = stripslashes($nazwisko);
		$ip = stripslashes($ip);
		$passwd = stripslashes($passwd);
		$passwd1 = stripslashes($passwd1);
		$email = ereg_replace(" ", "", $email);
		$imie = ereg_replace(" ", "", $imie);
		$nazwisko = ereg_replace(" ", "", $nazwisko);
		$ip = ereg_replace(" ", "", $ip);
		$passwd = ereg_replace(" ", "", $passwd);
		$passwd1 = ereg_replace(" ", "", $passwd1);
	  $aa = mysql_query("SELECT * FROM users where login='$uname'");
	  $znal = mysql_num_rows($aa);
	  if ($znal==0){
		if ($passwd == $passwd1)
		{
				  if  (verifyEmail($email)==true){
			$passwd = md5($passwd);
  $res = mysql_query("INSERT INTO `users` (`login`,`haslo`,`email`, `imie`,`nazwisko`, `data`, `ip`, `plec`) VALUES ('$uname', '$passwd', '$email', '$imie', '$nazwisko', '$data', '$ip', '$plec')");
					   echo "<DIV id=opisy align=center>Dziękujemy za zarejestrowanie";
		echo "<P><A HREF=index.php>Kliknij tutaj</A> aby powrócić do strony głównej.</p></div>";
				}
				else  {
					   echo "<DIV id=opisy align=center>Błędny e-mail.";
		echo "<P><A HREF=$PHP_SELF?mode=register>Kliknij tutaj</A> aby powrócić.</p></div>";}
		}
		}
	else
	{
		echo "<DIV id=opisy align=center>Taki uzytkownik już istnieje.";
		echo "<P><A HREF=$PHP_SELF?mode=register>Kliknij tutaj</A> aby powrócić.</p></div>";
	}
 
	}
else
{
	echo "<DIV id=opisy align=center>Twoje hasła się nie pokrywają";
		echo "<P><A HREF=$PHP_SELF?mode=register>Kliknij tutaj</A>  aby powrócić.</p></div>";
}
			  }
	else {
	echo <<<END
	<div id="belka">Rejestracja</div>
	<br>
<FORM ACTION="" METHOD=post>
 
<table border="0" width="100%" cellspacing="0" cellpadding="0">
  <tr>
	<td width="42%" align="right"><span id="opisy">Login:</span></td>
	<td width="58%"><span id="formularz"> <input type="text" name="uname" size="20"></span></td>
  </tr>
  <tr>
	<td width="42%" align="right"><span id="opisy">Hasło:</span></td>
	<td width="58%"><span id="formularz"><input  type="password" name="passwd" size="20"></span></td>
  </tr>
  <tr>
	<td width="42%" align="right"><span id="opisy">Ponownie Hasło:</span></td>
	<td width="58%"><span id="formularz"> <input type="password" name="passwd1" size="20"></span></td>
  </tr>
  <tr>
	<td width="42%" align="right"><span id="opisy">Imię:</span></td>
	<td width="58%"><span id="formularz"> <input  type="text" name="imie" size="20"></span></td>
  </tr>
  <tr>
	<td width="42%" align="right"><span id="opisy">Nazwisko:</span></td>
	<td width="58%"><span id="formularz"> <input  type="text" name="nazwisko" size="20"></span></td>
  </tr>
  <tr>
   <td width="42%" align="right"><span id="opisy">Płeć:</span></td>
	<td width="58%"><span id="formularz">
 
M
	  <input name="plec" value="M" type="radio">
K
		<input name="plec" value="K" type="radio">
   </td>
  </tr>
  <tr>
 
	<td width="42%" align="right"><span id="opisy">E-Mail:</span></td>
	<td width="58%"> <span id="formularz"><input type="text" name="email" size="20"></span></span></td>
<input type="hidden" name="ip" size="20" value="$REMOTE_ADDR">
</td></tr></table><center>
<INPUT TYPE=image SRC=grafika/wyslij.gif BORDER=0 name=submit>
</form><BR><span id="opis_glowny" stle="font-size:15pt">Należy wypełnić wszystkie pola !</span>
END;
 
 }
 
?>
[PHP] pobierz, plaintext 

Forma logowania z skryptem(index.php?mode=login)

[PHP] pobierz, plaintext 
<?php
if (isset($_POST['uname']) AND isset($_POST['passwd']))
{
	$login = $_POST['uname'];
	$haslo = $_POST['passwd'];
$odp = mysql_query("SELECT * FROM users where login='$login'");
$razem = mysql_num_rows($odp);
$wynik = mysql_fetch_array($odp);
if ($razem!=0)
{
if (md5($haslo)==$wynik['haslo'])
{
$email = $wynik['email'];
$plec = $wynik['plec'];
$imie = $wynik['imie'];
$nazwisko = $wynik['nazwisko'];
$user_level = $wynik['user_level'];
	session_start();
	session_register("login");
	session_register("email");
	session_register("plec");
	session_register("imie");
	session_register("nazwisko");
	session_register("user_level");
					echo "<DIV id=opisy align=center>Haslo poprawne";
		echo "<P><A HREF=index.php>Kliknij tutaj</A> aby powrócić do strony głównej.</p></div>";
	}
	else
	echo 'Błędne haslo';
	}
	else
	echo 'Nie ma takiego uzytkownika';
	}
	else
	{
  echo <<<END
	<div id="belka">Logowanie</div>
	<br>
<FORM ACTION="" METHOD=post>
 
<table border="0" width="100%" cellspacing="0" cellpadding="0">
  <tr>
	<td width="42%" align="right"><span id="opisy">Login:</span></td>
	<td width="58%"><span id="formularz"> <input type="text" name="uname" size="20"></span></td>
  </tr>
  <tr>
	<td width="42%" align="right"><span id="opisy">Hasło:</span></td>
	<td width="58%"><span id="formularz"><input  type="password" name="passwd" size="20"></span></td>
  </tr>
<input type="hidden" name="ip" size="20" value="$REMOTE_ADDR">
</td></tr></table><center>
<INPUT TYPE=image SRC=grafika/wyslij.gif BORDER=0 name=submit>
</form>
END;
}
?>
[PHP] pobierz, plaintext 

a wylogowanie to(index.php?mode=logout)

[PHP] pobierz, plaintext 
<?php
 
	echo '<DIV id=opisy align=center>Wylogowano ' . $login . '</div>';
	session_destroy();
?>
[PHP] pobierz, plaintext 

To wszystko, przepraszam ze moze troche zamotałem, ale mam nadzieje ze zrozumieliscie:>

Ten post edytował Axadiw 6.07.2006, 10:56:54

[Cysiaczek]

Uzywasz md5(), a varchar w polu haslo w bazie danych ma 200 znaków długości - Ja bym zmienił na 32, bo taka długość ma hash md().

jeśli chcesz zapamietać informacje o logowaniu po restarcie kompa, to nie b ędzie to za bardzo bezpieczne. Jesli jednak koniecznie chcesz, to stwórz sobie własną obsługę sesji - np. zapisuj informacje o zalogowaniu w bazie danych/pliku. Nie polecam jednak tej metody :|. Lepiej logować się od nowa.

Ten post edytował Cysiaczek 6.07.2006, 09:39:13

[Axadiw]

ok, zmienilem dlugosc pola na 32

chyba faktycznie odpuszcze sobie zapamietywanie logowania,

a co do reszty skryptu, da rade go jakos zlamać? czy jest odporny na wsio? ;>

[Cysiaczek]

Nie wygląda źle... http://www.php.net/manual/pl/security.php <-- tu jest wiecej

aha. session_register() niedługo zniknie. Używaj $_SESSION[nazwa]=wartosc

Ten post edytował Cysiaczek 6.07.2006, 09:50:59

[Axadiw]

ok, to jeszcze jedno pytanie:
dane sa zapisywane w cookies, a jaki sposob je podejrzeć, czy gdybym sie uparł, bedac zwyklym userem moge zmienić cookie?(gdy zmienie $user_level to moge sie podawac za np admina...)

[Cysiaczek]

A. Jasne. Masz pełną kontrolę nad cookies, bo są na twoim komputerze. nie polecam uzywania cookie do przenoszenia praw dostępu.

[nasty]

1)
Czytaj dane z cookie :

[PHP] pobierz, plaintext 
<?php
echo $_COOKIE['nazwa_ciasteczka'];
?>
[PHP] pobierz, plaintext 

2) mozna zmienic vartosc cookie, sa takie programy do tego

[Axadiw]

cos polecasz? przechowywanie danych w mysql a w cookies tylko identyfikator sesji?
jesli tak, to zamiast cookies uzywalbym metody GET(chce sie zabiezpieczyc, gdyby ktos mial w przegladarce wylaczona obsluge ciasteczek)
da rade jakos to sprytnie zrobic, zbytnio nie ingerując w kod?

[nasty]

nie, w cookies mozesz trzymac dane ale odpowiednio je zabezpiecz, np.
passwordy w md5, szyfrowanie, itd...
jak sobie to dobrze ubezpieczysz to wtedy cookies sa bardzo bezpieczne...

[Cysiaczek]

heh. Ciekawe jak php.pl odczytuje cookie... Własnie zmieniłem cookie i dalej jestem zalogowany O.o

[Axadiw]

passworda nie musze trzymac podczas przegladania strony(potrzebny tylko podczas logowania, i ew. zmiany hasla)

wiec w cookies trzymam login, status usera(zwykly user,admin, modek itp) i ew. reszta pól wpisywanych podczas rejestracji. jak zakoduje wszystko do md5, to potem nie odkoduje przeciez

[Cysiaczek]

Bo się nie odkodowuje, tylko porównuje (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

[Axadiw]

no rozumiem, ale gdzie mam trzymac niezakodowane dane (IMG:http://forum.php.pl/style_emoticons/default/snitch.gif)

[cichy19-]

"Zapamiętaj mnie" możesz zrobić przy pomocy ciastek.

Mam chyba gdzieś nawet kod do tego

[Axadiw]

no, to jak mozesz... (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

i ponawiam prosbe o te szyfrowanie ciastek

[NetJaro]

Zamiast sprawdzania każdego elementu tablicy $_POST możesz użyć foreach - będzie szybciej.

[borec]

[PHP] pobierz, plaintext 
<?php
$login = $_POST['uname'];
	$haslo = $_POST['passwd'];
$odp = mysql_query("SELECT * FROM users where login='$login'");
?>
[PHP] pobierz, plaintext 

1. Co po tworzysz duplikaty tych samych wartości zmiennych?
2. Nie filtrujesz danych przychodzących z POSTa i ładujesz je wprost do mysql_query() - niezbyt mądre, pogoogluj za SQL Incejtion.

[Axadiw]

[PHP] pobierz, plaintext 
<?php
$uname = stripslashes($uname);
  $uname = ereg_replace(" ", "", $uname);
 $aa = mysql_query("SELECT * FROM users where login='$uname'");
?>
[PHP] pobierz, plaintext 

przeciez jest napisane, lekka obrobka tych zmeinnych jest;]
jescze htmlspecialchars() dodam i powinno byc dobrze, nie?

[borec]

[PHP] pobierz, plaintext 
<?php
$uname = stripslashes($uname);
  $uname = ereg_replace(" ", "", $uname);
 $aa = mysql_query("SELECT * FROM users where login='$uname'");
?>
[PHP] pobierz, plaintext 

przeciez jest napisane, lekka obrobka tych zmeinnych jest;]
jescze htmlspecialchars() dodam i powinno byc dobrze, nie?

Nie. stripslashes() może Ci tylko zaszkodzić. Załóżmy, że ktoś wpisze taki login:

Kod

' OR 1 ---

Wtedy wybierze pierwszy lepszy login z bazy. Na forum jest przyklejony topic o SQL Injection, na prawdę warto poczytać.

Ten post edytował borec 6.07.2006, 15:26:54

[Axadiw]

ok, przepuszczam zmienne przez mysql_real_escape_string() to wystarczy, czy addslashes czy cos innego musze jeszcze