Skrypt logowania a bezpieczeństwo

Skrypt logowania a bezpieczeństwo

Axadiw Zobacz profil	6.07.2006, 09:28:15 Post #1
Grupa: Zarejestrowani Postów: 29 Pomógł: 0 Dołączył: 13.03.2005 Ostrzeżenie: (0%)	Witam, Wzialem sie ostatnio za skrypt logowania na moją stronke, jednak nie wiem czy jest on dostatecznie bezpieczny(nie znam sie na exploitach itp, wiec nie wiem jak go zlamac:P). Kolejnym problemem jest dodanie pola "Zapamiętaj mnie", zeby informacje ze ktos jest zalogowany byly przechowywane nawet po restarcie kompa itd. Nie znam sie na sesjach, wiedze bralem z paru tutoraiali, i wyszlo cos takiego. BTW. Jak zrobic tak fajnie, ze identyfikator sesji jest przekazywany wraz z adrsem strony(metoda GET), czy cookies są wystarczająco bezpieczne? Skrypt przechowuje informacje w MySql, tablica wyglada tak(export z phpmyadmin) [SQL] pobierz, plaintext CREATE TABLE `users` ( `nr` int(20) NOT NULL AUTO_INCREMENT, `login` varchar(20) NOT NULL DEFAULT '', `plec` varchar(20) NOT NULL DEFAULT '', `haslo` varchar(200) NOT NULL DEFAULT '', `data` date NOT NULL DEFAULT '0000-00-00', `email` varchar(50) NOT NULL DEFAULT '', `imie` varchar(50) NOT NULL DEFAULT '', `nazwisko` varchar(50) NOT NULL DEFAULT '', `ip` varchar(15) NOT NULL DEFAULT '', `user_level` smallint(6) NOT NULL DEFAULT '0', PRIMARY KEY (`nr`) ) TYPE=MyISAM AUTO_INCREMENT=50 ; [SQL] pobierz, plaintext Skrypt rejestracji (index.php?mode=register) [PHP] pobierz, plaintext <?php function verifyEmail($email) { $email = strtolower($email); return ereg("^[a-z0-9_.-]+@([a-z0-9_-]+.)+[a-z]{2,}$", $email); } if (isset($_POST['plec']) AND isset($_POST['uname']) AND isset($_POST['passwd'])AND isset($_POST['passwd1']) AND isset($_POST['email'])AND isset($_POST['imie'])AND isset($_POST['nazwisko'])AND isset($_POST['ip']) ) { $uname = $_POST['uname']; $email = $_POST['email']; $imie = $_POST['imie']; $nazwisko = $_POST['nazwisko']; $ip = $_POST['ip']; $passwd = $_POST['passwd']; $passwd1 = $_POST['passwd1']; $plec = $_POST['plec']; if ($uname && $passwd && $passwd1 && $email && $imie && $nazwisko && $ip) { $data = date("Y-m-d"); $uname = stripslashes($uname); $uname = ereg_replace(" ", "", $uname); $email = stripslashes($email); $imie = stripslashes($imie); $nazwisko = stripslashes($nazwisko); $ip = stripslashes($ip); $passwd = stripslashes($passwd); $passwd1 = stripslashes($passwd1); $email = ereg_replace(" ", "", $email); $imie = ereg_replace(" ", "", $imie); $nazwisko = ereg_replace(" ", "", $nazwisko); $ip = ereg_replace(" ", "", $ip); $passwd = ereg_replace(" ", "", $passwd); $passwd1 = ereg_replace(" ", "", $passwd1); $aa = mysql_query("SELECT * FROM users where login='$uname'"); $znal = mysql_num_rows($aa); if ($znal==0){ if ($passwd == $passwd1) { if (verifyEmail($email)==true){ $passwd = md5($passwd); $res = mysql_query("INSERT INTO `users` (`login`,`haslo`,`email`, `imie`,`nazwisko`, `data`, `ip`, `plec`) VALUES ('$uname', '$passwd', '$email', '$imie', '$nazwisko', '$data', '$ip', '$plec')"); echo "<DIV id=opisy align=center>Dziękujemy za zarejestrowanie"; echo "<P><A HREF=index.php>Kliknij tutaj</A> aby powrócić do strony głównej.</p></div>"; } else { echo "<DIV id=opisy align=center>Błędny e-mail."; echo "<P><A HREF=$PHP_SELF?mode=register>Kliknij tutaj</A> aby powrócić.</p></div>";} } } else { echo "<DIV id=opisy align=center>Taki uzytkownik już istnieje."; echo "<P><A HREF=$PHP_SELF?mode=register>Kliknij tutaj</A> aby powrócić.</p></div>"; } } else { echo "<DIV id=opisy align=center>Twoje hasła się nie pokrywają"; echo "<P><A HREF=$PHP_SELF?mode=register>Kliknij tutaj</A> aby powrócić.</p></div>"; } } else { echo <<<END <div id="belka">Rejestracja</div> <br> <FORM ACTION="" METHOD=post> <table border="0" width="100%" cellspacing="0" cellpadding="0"> <tr> <td width="42%" align="right"><span id="opisy">Login:</span></td> <td width="58%"><span id="formularz"> <input type="text" name="uname" size="20"></span></td> </tr> <tr> <td width="42%" align="right"><span id="opisy">Hasło:</span></td> <td width="58%"><span id="formularz"><input type="password" name="passwd" size="20"></span></td> </tr> <tr> <td width="42%" align="right"><span id="opisy">Ponownie Hasło:</span></td> <td width="58%"><span id="formularz"> <input type="password" name="passwd1" size="20"></span></td> </tr> <tr> <td width="42%" align="right"><span id="opisy">Imię:</span></td> <td width="58%"><span id="formularz"> <input type="text" name="imie" size="20"></span></td> </tr> <tr> <td width="42%" align="right"><span id="opisy">Nazwisko:</span></td> <td width="58%"><span id="formularz"> <input type="text" name="nazwisko" size="20"></span></td> </tr> <tr> <td width="42%" align="right"><span id="opisy">Płeć:</span></td> <td width="58%"><span id="formularz"> M <input name="plec" value="M" type="radio"> K <input name="plec" value="K" type="radio"> </td> </tr> <tr> <td width="42%" align="right"><span id="opisy">E-Mail:</span></td> <td width="58%"> <span id="formularz"><input type="text" name="email" size="20"></span></span></td> <input type="hidden" name="ip" size="20" value="$REMOTE_ADDR"> </td></tr></table><center> <INPUT TYPE=image SRC=grafika/wyslij.gif BORDER=0 name=submit> </form><BR><span id="opis_glowny" stle="font-size:15pt">Należy wypełnić wszystkie pola !</span> END; } ?> [PHP] pobierz, plaintext Forma logowania z skryptem(index.php?mode=login) [PHP] pobierz, plaintext <?php if (isset($_POST['uname']) AND isset($_POST['passwd'])) { $login = $_POST['uname']; $haslo = $_POST['passwd']; $odp = mysql_query("SELECT * FROM users where login='$login'"); $razem = mysql_num_rows($odp); $wynik = mysql_fetch_array($odp); if ($razem!=0) { if (md5($haslo)==$wynik['haslo']) { $email = $wynik['email']; $plec = $wynik['plec']; $imie = $wynik['imie']; $nazwisko = $wynik['nazwisko']; $user_level = $wynik['user_level']; session_start(); session_register("login"); session_register("email"); session_register("plec"); session_register("imie"); session_register("nazwisko"); session_register("user_level"); echo "<DIV id=opisy align=center>Haslo poprawne"; echo "<P><A HREF=index.php>Kliknij tutaj</A> aby powrócić do strony głównej.</p></div>"; } else echo 'Błędne haslo'; } else echo 'Nie ma takiego uzytkownika'; } else { echo <<<END <div id="belka">Logowanie</div> <br> <FORM ACTION="" METHOD=post> <table border="0" width="100%" cellspacing="0" cellpadding="0"> <tr> <td width="42%" align="right"><span id="opisy">Login:</span></td> <td width="58%"><span id="formularz"> <input type="text" name="uname" size="20"></span></td> </tr> <tr> <td width="42%" align="right"><span id="opisy">Hasło:</span></td> <td width="58%"><span id="formularz"><input type="password" name="passwd" size="20"></span></td> </tr> <input type="hidden" name="ip" size="20" value="$REMOTE_ADDR"> </td></tr></table><center> <INPUT TYPE=image SRC=grafika/wyslij.gif BORDER=0 name=submit> </form> END; } ?> [PHP] pobierz, plaintext a wylogowanie to(index.php?mode=logout) [PHP] pobierz, plaintext <?php echo '<DIV id=opisy align=center>Wylogowano ' . $login . '</div>'; session_destroy(); ?> [PHP] pobierz, plaintext To wszystko, przepraszam ze moze troche zamotałem, ale mam nadzieje ze zrozumieliscie:> Ten post edytował Axadiw 6.07.2006, 10:56:54

Posty w temacie

Axadiw Skrypt logowania a bezpieczeństwo 6.07.2006, 09:28:15

Cysiaczek Uzywasz md5(), a varchar w polu haslo w bazie dany... 6.07.2006, 09:33:06

Axadiw ok, zmienilem dlugosc pola na 32 chyba faktycznie... 6.07.2006, 09:46:35

Cysiaczek Nie wygląda źle... http://www.php.net/ma... 6.07.2006, 09:49:41

Axadiw ok, to jeszcze jedno pytanie: dane sa zapisywane w... 6.07.2006, 10:08:38

Cysiaczek A. Jasne. Masz pełną kontrolę nad cookies, bo są n... 6.07.2006, 10:11:07

nasty_psycho 1) Czytaj dane z cookie : [PHP] pobierz, plaintext... 6.07.2006, 10:13:21

Axadiw cos polecasz? przechowywanie danych w mysql a w co... 6.07.2006, 10:16:17

nasty_psycho nie, w cookies mozesz trzymac dane ale odpowiednio... 6.07.2006, 10:21:24

Cysiaczek heh. Ciekawe jak php.pl odczytuje cookie... Własni... 6.07.2006, 10:34:56

Axadiw passworda nie musze trzymac podczas przegladania s... 6.07.2006, 11:10:30

Cysiaczek Bo się nie odkodowuje, tylko porównuje 6.07.2006, 11:11:47

Axadiw no rozumiem, ale gdzie mam trzymac niezakodowane d... 6.07.2006, 11:18:24

cichy19- "Zapamiętaj mnie" możesz zrobić przy pom... 6.07.2006, 11:28:41

Axadiw no, to jak mozesz... i ponawiam prosbe o te szyf... 6.07.2006, 12:56:02

NetJaro Zamiast sprawdzania każdego elementu tablicy ... 6.07.2006, 14:35:55

borec Cytat[PHP] pobierz, plaintext <?php$login = $_P... 6.07.2006, 15:01:47

Axadiw [PHP] pobierz, plaintext <?php$uname = stripsla... 6.07.2006, 15:13:22

borec Cytat(Axadiw @ 6.07.2006, 16:13 ) [PHP] p... 6.07.2006, 15:26:05

Axadiw ok, przepuszczam zmienne przez mysql_real_escape_s... 6.07.2006, 18:22:47

piwoszeq zapamietaj mnie jest bardzo latwo napisac zapisu... 7.07.2006, 01:52:42

« Następny starszy · PHP · Następny nowszy »

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Forum PHP.pl