[PHP] Bezpieczne logowanie - lae czy naprawdę takie bezpieczne ?! Opcje

[kiler129]

A więc dzisiaj miałem sporo wolnego czasu więc postanowiłem ze tym razem napiszę cos pożytecznego
Zajrzałem na maila i .... jest tam zlecenie dla mnie na logowanie do wewnętrznej sieci firmowej.

Wymagania jakie postawiono to:

- Oparte na plikach
- Hasła nie mągą być jawnie zapisane w pliku
- Proste do integracji z resztą oskryptowania

Wymyśliłem coś takiego:

register.php

[PHP] pobierz, plaintext 
<?
$login = $_POST['login'];
$haslo = $_POST['pwd'];
$haslo2 = $_POST['pwd2'];
 
if(isset($_POST['login']) && isset($_POST['pwd']))
{
   if (file_exists('./user/'.$login.'.php'))
	{
	 echo 'Taki login juz istnieje !<br>Wróć i wybierz inny';
	}
	else
	{
	 $nr = rand (99, 999);
	 $haslod = $haslo;
	 $haslod .= $nr;
 
	 echo $haslod;
 
	 $haslo .= "$nr";
	 $md5 = md5($haslod);
	 $crc32 = crc32($haslod);
	 $sha1 = sha1($haslod);
 
	 $file = './user/'."$login".'.php'; 
	 $fp = fopen($file, "a"); 
	 flock($fp, 2); 
	 fwrite($fp, '<?'."n");  
	 fwrite($fp, '$md5 = ''."$md5".'';'."n"); 
	 fwrite($fp, '$crc32 = ''."$crc32".'';'."n"); 
	 fwrite($fp, '$sha1 = ''."$sha1".'';'."n"); 
	 fwrite($fp, '$numer = ''."$nr".'';'."n"); 
	 fwrite($fp, '?>'."n");
	 flock($fp, 3); 
	 fclose($fp);
	}
 
}
else
{
 echo '<html><head><meta http-equiv="Content-Language" content="pl">';
 echo '<meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-2">';
 echo '<title>Rejestracja :: Demo</title></head><body>';
 echo '<form method="POST" action="./register.php">';
 echo '<p>Login <input type="text" name="login" size="20"></p>';
 echo '<p>Hasło <input type="password" name="pwd" size="20"></p>';
 echo '<p>Hasło <input type="password" name="pwd2" size="20"> (Przepisz powyższe jeszce raz)</p>';
 echo '<p><input type="submit" value="Rejstruj"></p>';
 echo '</form></form></body></html>';
}
?>
[PHP] pobierz, plaintext 

login.php

[PHP] pobierz, plaintext 
<?
if (isset($_POST['login']) && isset($_POST['pwd'])) 
{
 $login = $_POST['login'];
 $pwdzp = $_POST['pwd'];
 if (file_exists('./user/'.$login.'.php'))
 {
 include './user/'."$login".'.php';
 $hdw = "$pwdzp";
 $hdw .= $numer;
   if(md5($hdw) == $md5 && crc32($hdw) == $crc32 && sha1($hdw) == $sha1)
   {
	echo 'OK';
   }
   else
   {
	echo 'ZLE HASLO !';
   }
 }
 else
 {
 echo 'Bledny login !';
 }
}
else
{
 echo '<html><head><meta http-equiv="Content-Language" content="pl">';
 echo '<meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-2">';
 echo '<title>Logowanie :: Demo</title></head><body>';
 echo '<form method="POST" action="./login.php">';
 echo '<p>Login <input type="text" name="login" size="20"></p>';
 echo '<p>Hasło <input type="password" name="pwd" size="20"></p>';
 echo '<p><input type="submit" value="Zaloguj"></p>';
 echo '</form></form></body></html>';
}
?>
[PHP] pobierz, plaintext 

Oparte na 3 sumach kontrolnych
Drugim utrudnieniem jest to że sumy nie są tworzone od hasła ale od hasła i 2-3 cyfrowej liczby
Nawet jak ktoś zdobędzie jakos hash to i tak sie nie zaloguje nawet jak go rozkoduje
Napewno wielu zmyli zmienna $numer, kazdy normlany pomyśli że to numer usera w systmie


Co o tym myślicie ? Nadaje się ?

[Sedziwoj]

W register.php masz

[PHP] pobierz, plaintext 
<?php
$login = $_POST['login'];
?>
[PHP] pobierz, plaintext 

a gdzie sprawdzenie czy istnieje? Gdzie sprawdzasz co zawiera?
To tyczy się wszystkiego co dostajesz, $_POST można bez trudu sfabrykować.

EDIT lit.

Ten post edytował Sedziwoj 21.04.2007, 21:51:20

[kiler129]

To jak proponujesz to weryfikować ?
Wystarczy zostwaic tylko litery ?

[bełdzio]

To jak proponujesz to weryfikować ?
Wystarczy zostwaic tylko litery ?

dla loginu tak, dla hasła nie

[kiler129]

tak ale przeciez mozna by miec login ktos123 iwc to tez nie to.

Jest jakas gotowa klasa ?

[woolf864]

[PHP] pobierz, plaintext 
<?php
$login = preg_replace("/([^sa-zA-Z0-9])/", "", $login);
$pass = preg_replace("/([^sa-zA-Z0-9])/", "", $pass);
?>
[PHP] pobierz, plaintext 

użytkownikowi w loginie i haśle są potrzebne jedynie litery cyfry i puste znaki...
znaki specjalne są mu całkowicie niepotrzebne...
więc myśle że coś takiego będzie w sam raz

[xmenmax]

fajny skrypt może mi ktoś jeszcze powiedzieć jak zrobić tak jak na stronach że pisze że jesteś zalogowany i jest więcej funkcji

[ADeM]

Poszytaj o sesjach.

[xmenmax]

jakich sesjach ?

[ADeM]

http://php.net/manual/pl/features.sessions.php
http://www.google.pl/search?hl=pl&sour...q=&gs_rfai=