[php] szybkie zabezpieczenie skryptu[/php] Opcje

[aga323]

Witam, dawno si nie odzywałam z powodu braku czasu... Ale mam mały problem. jedynym polem na mojej stronce gdzie możnaby wpuscić jakiś złośliwy kod jest logowanie i zależy mi żeby w tym polu można było wpisywac tylko litery a-z i cyfry 0-9 oraz aby nie można było wprowadzac LIKE itd. Po prostu chce choć troszkę zabezpieczyć ten kod. Wiem, ze temat byl tn juz poruszany jednak na prawde nie mam czasu tego wszystkiego czytać i prosze o syzbką odpowiedź. Podaję mój kod:
index.php

[PHP] pobierz, plaintext 
<?php
Panel Logowania:
<form name="logowanie" action="log.php" method="POST">
Użytkownik:
<input type="text" name="user" value="" />
Hasło:
<input type="password" name="pass" value="" />
<br>
<input type="submit" value="zaloguj" />
</form>
?>
[PHP] pobierz, plaintext 

log.php

[PHP] pobierz, plaintext 
<?php
$login_f = $_POST['user'];
$pass_f = $_POST['pass'];
//Laczenie z baza
include ("connect.php");
//-------------------------
//   Zapytanie
//-------------------------
//pobieramy użytkownika o takim loginie z bazy.
$query = mysql_query("SELECT * FROM `users` WHERE login='".$login_f."' AND haslo='".$pass_f."';");
$result = mysql_fetch_array($query);
if(!empty($result['login'])){
 
   $login_b = $result['login'];
   $pass_b = $result['haslo'];
	echo (mysql_error());
		//Tworzymy zmienną sesji $_SESSION['Login']  i nadajemy jej
		//wartość jaka jest w bazie danych odpowiadająca zalogowanemu użytkownikowi.
		$_SESSION['User']= $login_b;
		$_SESSION['User_id']= $result['id'];
		$_SESSION['ranga']= $result['ranga'];
		$_SESSION['klasa']= $result['klasa'];
		//Zalogowanego użytkownika przenosimy na strone index.php
		header( 'Location: ses.php' );
		echo (mysql_error());
 
} 
else
{
echo "Zły login";   
   
}
?>
[PHP] pobierz, plaintext 

[cornholio666]

"Nie mam czasu czytać całego twojego posta wiec:"

Temat: SQL Injection Insertion

[aga323]

Kurcze, szukam i szukam w tym temacie co podał cornholio ale nie ma za bardzo wyraźnie napisane jak zrobić tak żeby można było dodawać tylko zakres a-z i 0-9 Mógłby ktoś mi napisać mniej więcej jak to zrobić?

[cornholio666]

Niech użytkownik może wpisać sobie co chce. Jak zabezpieczysz formularz jak w linku który ci podałem to bedzie bez znaczenia co on tam wpisuje.

[aga323]

Ale które zabezpieczenia Twoim zdaniem będą najlepsze, bo podawali tam kilka rodzajów zresztą ogóle jak dla mnie mało dokładnie. A nie chce nie wiadomo ile tego dawać żeby skrypt mi aż tak bardzo nie zwalniał. Które są takie najważniejsze, żeby nie było zbyt łatwo się włamać..? Sorki ale w tej kwestii jestem laikiem i po prostu chce wiedzieć co będzie najlepsze

[cornholio666]

np. http://www.php.net/manual/pl/function.mysq...cape-string.php

[aga323]

Ok. czyli w moim przypadku powinno to wyglądac mniej więcej tak:

[PHP] pobierz, plaintext 
<?php
$login_ = $_POST['user'];
$login_f = mysql_escape_string($login_);
$pass_ = $_POST['pass'];
$lpass_f = mysql_escape_string($pass_);
//Laczenie z baza
include ("connect.php");
//-------------------------
//   Zapytanie
//-------------------------
//pobieramy użytkownika o takim loginie z bazy.
$query = mysql_query("SELECT * FROM `users` WHERE login='".$login_f."' AND haslo='".$pass_f."';");
$result = mysql_fetch_array($query);
?>
[PHP] pobierz, plaintext 

Powinno to wyglądac tak jak wyżej czy inaczej to zrobić?

[cornholio666]

Można to skrócic lekko

[PHP] pobierz, plaintext 
<?php
$login_f = mysql_escape_string($_POST['user']);
?>
[PHP] pobierz, plaintext 

Hasło trzymasz w bazie w postaci jawnej a to bardzo niedobrze.

[aga323]

A duzo trzeba zmienić żeby bylo kodowane? np w md5 czy cos? na pewno w bazie trzba zmienic rodzaj danych, ale czy w skrypcie trzeba by duzo zmienić?

[cornholio666]

Jak dopisujesz usera to przed dodaniem do bazy przepuszczasz hasło przez md5

Jak sprawdzasz dane jak sie logujesz to przepuszczasz przez md5 i sprawdzasz czy skróty się zgadzają. Jak tak to logujesz.

http://pl.wikipedia.org/wiki/MD5 - tu sobie przeczytaj i znajdz jaką skrót ma długość. Taka musisz mieć w bazie. Pole typu VARCHAR

[aga323]

Wiem, że zabrzmi to dziwnie ale ja z tego raczej mało kapuje. Czy mógłbys mi na przykładzie tego mojgo skryptu napisać co powinno byc zmienione i co w bazie zmienić mniej więcej?

[in5ane]

piszesz:

[PHP] pobierz, plaintext 
<?php
$query = mysql_query("SELECT * FROM `users` WHERE login='".$login_f."' AND haslo=md5('".$pass_f."');");
?>
[PHP] pobierz, plaintext 

Możliwe błędy z apostrofami, bo nie patrzyłem na to. Takie zapytanie

[cornholio666]

W bazie tam gdzie masz pole "haslo" dajesz typ VARCHAR o długości 32.

[PHP] pobierz, plaintext 
<?php
$lpass_f = md5($_POST['pass']);
?>
[PHP] pobierz, plaintext 

W bazie musisz mieć zahaszowane hasło czyli jak twoje hasło to "Ala ma kota" to w bazie powinnaś mieć zapisane "91162629d258a876ee994e9233b2ad87" bo

MD5("Ala ma kota") = 91162629d258a876ee994e9233b2ad87

Przy okazji to masz błąd:

[PHP] pobierz, plaintext 
<?php
$lpass_f = mysql_escape_string($pass_);
 
AND haslo='".$pass_f."';");
?>
[PHP] pobierz, plaintext 

Ten post edytował cornholio666 27.09.2007, 18:53:32

[aga323]

Czyli przed kazdym wysłaniem czy sprawdzeniem danych związanych z haslem poprzedzic to md5? A jak np. mam opcje zmiany hsla i chce zeby wysiwtlilo mi sie normalne a nie zakodowane to co mam zrobic?

[Cienki1980]

Czyli przed kazdym wysłaniem czy sprawdzeniem danych związanych z haslem poprzedzic to md5? A jak np. mam opcje zmiany hsla i chce zeby wysiwtlilo mi sie normalne a nie zakodowane to co mam zrobic?

Nic nie możesz zrobić. md5 to hashowanie a nie kodowanie ... jest tylko i wyłącznie jednostronne.

A co do zmiany hasła to we wszystkich szanujących serwisach zmiana hasła składa się z trzech kroków :
- podajesz stare hasło
- podajesz nowe hasło
- powtarzasz nowe hasło
czyli trzy pola input w formularzu

w skrypcie sprawdzasz czy md5(stare_haslo)==haslo_w_bazie && nowe_haslo==nowe_powtorzone_haslo

Jeżeli wszystko się zgadza robisz aktualizacje hasla .. czyli

[PHP] pobierz, plaintext 
<?php
$sql="update tabela set haslo='".md5(nowe_haslo)."'";
?>
[PHP] pobierz, plaintext