[php + mysql] logowanie/wylogowanie Opcje

[prz3m3k]

Logowanie do panelu newsów w którym to panelu w pełni edytujemy newsy dodajemy/usuwamy itd. nie to jest ważne... wazne jest to czy chodź trochę bezpiecznie się to odbywa w php piszę od niedawna i jest mój pierwszy skrypt zamieszczony do oceny, proszę krytykować do woli


plik login.php ma za zadanie sprawdzenie czy login i hasło podane w formularzu logowania zgadzają się z loginem i hasłem w bazie mysql.

[PHP] pobierz, plaintext 
<?php
if(!session_id())
{ 
 unset($_COOKIE[session_name()]);
}
error_reporting( E_ALL );
session_start();
 
if(isset($_POST['login']) && isset($_POST['haslo']))
{
 
  $login = $_POST['login'];
  $haslo = $_POST['haslo'];
 
  $db = mysql_connect('host', 'login', 'haslo')
  or die('Nie mogę połączyć się z bazą danych'.mysql_error());
  mysql_select_db('baza')
  or die('Nie mogę połączyć się z bazą danych'.mysql_error());
 
$passwd = md5(sha1($haslo));	 /*zakodowanie hasła*/
 
$zapytanie = "SELECT * FROM users WHERE user='$login' AND passwd='$passwd'";
$wynik = mysql_query($zapytanie);
 
$query = "SELECT passwd FROM users WHERE user='$login'";
$r = mysql_fetch_array(mysql_query($query));
 
if($r['passwd'] === $passwd){						  
if(mysql_num_rows($wynik) == 1)
		{
				$_SESSION['prawid_uzyt'] = $login.session_id();	   
				$_SESSION['prawid'] = $login;
		}
		else echo '<center>!!! Błędne logowanie !!!</center>';
}
else echo '<center>!!! Błędne logowanie !!!</center>';
mysql_close($db) or die('Nie mogę się rozłączyć z bazą danych !'.mysql_error());
}
?>
 
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.1//EN" "http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
  <meta http-equiv="content-type" content="text/html; charset=iso-8859-2" />
  <meta http-equiv="reply-to" content="" />
  <meta name="generator" content="" />
  <meta name="author" content="" />
  <meta name="description" content="" />
  <title>..:: Logowanie do newsów ::..</title>
 
  <STYLE TYPE="text/css">
  <!--
  body { font-family: verdana; font-weight: normal; font-size: 10pt; color: #00000; margin: 0px; padding: 0px; }
  a:link { color: #603913; text-decoration: none; }
  a:visited { color: #603913; text-decoration: none; }
  a:hover { text-decoration: underline; }
  -->
  </STYLE>
</head>
<body>
 
<?php
  if(isset($_SESSION['prawid_uzyt']))
  {
	header('Location: panel.php?sid='.session_id().'&la=pl');
  }
  else
  {
	if(isset($login))
	{
	  echo '<center>!!! Zalogowanie niemożliwe !!!</center>';
	}
 
	echo '<br /><br /><center><h3><b>Logowanie do systemu newsów</b></h3></center><br /><br /><br /><br />';
	echo '<form method="post" action="login.php">';
	echo '<table border="0" align="center">';
	echo '<tr><td>Login:</td>';
	echo '<td align="center"><input type="text" name="login"></td></tr>';
	echo '<tr><td>Hasło:</td>';
	echo '<td align="center"><input type="password" name="haslo"></td></tr>';
	echo '<tr><td colspan="2" align="center">';
	echo '<input type="submit" value="Loguj"></td></tr>';
	echo '</table></form>';
	echo '<br /><br /><center><a href="">Strona główna</a></center><br /><br /><br /><br />';
  }
?>
 
</body>
</html>
[PHP] pobierz, plaintext 

każdy następny plik rozpoczyna się:

[PHP] pobierz, plaintext 
<?php
session_start();
 
if(isset($_SESSION['prawid_uzyt']) && session_id() === $sid) { to coś tam }
?>
[PHP] pobierz, plaintext 

wylogowanie:

[PHP] pobierz, plaintext 
<?php
  session_start();
 
  unset($_SESSION['prawid_uzyt']);
  unset($_SESSION['prawid']);
  unset($_COOKIE[session_name()]);
  session_destroy();
?>
[PHP] pobierz, plaintext 

Ten post edytował prz3m3k 12.08.2006, 23:03:57

[Cysiaczek]

[PHP] pobierz, plaintext 
<?php
$zapytanie = "SELECT * FROM users WHERE user='$login' AND passwd='$passwd'";
$wynik = mysql_query($zapytanie);
 
$query = "SELECT passwd FROM users WHERE user='$login'";
$r = mysql_fetch_array(mysql_query($query));
?>
[PHP] pobierz, plaintext 

Dlaczego tak? NIe wystarczyło pierwsze zapytanie? Wyciągnąłeś wszystkie pola, więc je jakoś wykorzystaj. To drugie zapytanie jest zbędne. Pokombinuj - da się to uprościć.

Pozdrawiam,

[SHiP]

Jesli ten skrypt jest tylko dla Ciebie to nie jest źle ;]. Jesli chcesz natomiast to puscić w świat to kilka uwag...

Kod

<?php
if(isset($_SESSION['prawid_uzyt']) && session_id() === $sid) { to coś tam }
?>

1. Odwolujesz sie do $sid zamiast do $_GET['sid'] wiec przypuszczasz ze register globals są właczone ;] Niedobrze ;p
2. Jeśli inny administrator bedzie chciał z tego kożystać a bedzie mial wyłaczone cookies to co wtedy?
3. A jeśli serwer ma domyślnie wyłączone magic_quotes ;] ? Zero ochrony przed sql injection ;]

[prz3m3k]

1. okej poprawię
2. nie będzie z tym problemu.
3. dobra przyznaje sie nie wiem o co chodzi

phpinfo() na serwerze gdzie to ma działać:

[PHP] pobierz, plaintext 
<?php
magic_quotes_gpc	On	On
magic_quotes_runtime	Off	Off
magic_quotes_sybase	Off	Off
?>
[PHP] pobierz, plaintext 

jeśli to jest błedem to czy da się to jakoś inaczej rozwiązać i nie męczyć admina zmienianiem "magic_quotes_gpc" na "off"

Ten post edytował prz3m3k 13.08.2006, 19:06:51

[SHiP]

[PHP] pobierz, plaintext 
<?php
		$var = (get_magic_quotes_gpc()) ? $var : addslashes($var);  
?>
[PHP] pobierz, plaintext 

get_magic_quotes_gpc" title="Zobacz w manualu php" target="_manual
addslashes" title="Zobacz w manualu php" target="_manual

I wszystko jasne

[prz3m3k]

hmmmm czy jak na serwerze jest włączone magic_quotes_gpc to musze wykonywać ten skrypt który mi napisałeś powyżej SHiP ?

fragment z manuala php:

[PHP] pobierz, plaintext 
<?php
if (!get_magic_quotes_gpc()) {
   $lastname = addslashes($_POST['lastname']);
} else {
   $lastname = $_POST['lastname'];
}
?>
[PHP] pobierz, plaintext 

czyli u mnie chyba nie jest potrzebne sprawdzanie tegoż warunku skoro wiem że skrypt będzie działał na serwerze gdzie magic_quotes_gpc jest włączone i nie musze potraktowac mojej zmiennej funkcją addslashes

Ten post edytował prz3m3k 13.08.2006, 20:27:47

[SHiP]

No tak w twoim przypadku to bedzie bezpieczne... Chociaż moim zdaniem i tak lepiej kod pisac uniwersalny ;]

[bim2]

Now łasnie. A jeśli np admin wyłączy ci magci quotes? Trzeba mysleć do przodu ;P robić wszystko tak aby na kazdym serwerze działało tak samo (podobnie)