Forum PHP.pl

Forum PHP.pl > Forum > PHP

Reply to this topic

Start new topic

Skrypt logowania, czy jest on wystarczająco bezpieczny???

qba10 Zobacz profil	15.12.2007, 16:36:03 Post #1
Grupa: Zarejestrowani Postów: 264 Pomógł: 20 Dołączył: 19.08.2007 Skąd: Bryńsk k. Lidzbarka Welskiego (nie mylić z Warmińskim) Ostrzeżenie: (0%)	[PHP] pobierz, plaintext <?php if( isset($_POST['pamietaj']) AND $_POST['pamietaj'] == "ok") { setcookie("JumpPHP_".md5('login'),md5(strtolower($_POST['login'])) ,time()+60602430); setcookie("JumpPHP_".md5('haslo'),md5($_POST['haslo']) ,time()+60602430); } if(eregi("config.php",$_SERVER['PHP_SELF']) OR eregi("config.php",$_SERVER['QUERY_STRING'])) { header("Location: /"); die(); } $_CONFIG['MySQL']['host'] = "allalalal"; $_CONFIG['MySQL']['user'] = "bebebebbe"; $_CONFIG['MySQL']['pass'] = "zapomniałem"; $_CONFIG['MySQL']['base'] = "fajna"; if(!isset($_SESSION['sesja'])) { session_start(); $_SESSION['sesja'] = ''; } @mysql_connect($_CONFIG['MySQL']['host'], $_CONFIG['MySQL']['user'], $_CONFIG['MySQL']['pass']) or die('<html> <head> <meta http-equiv="Content-type" content="text/html; charset=iso-8859-2"> <title>Error - Jump PHP</title> <style type="text/css"> body { background: #FFFFFF; } div { font-family: Verdana, Arial; font-size: 12px; color: #000000; } </style> </head> <body> <div> Przepraszamy, wystąpiła chwilowa awaria serwisu.<br> <br> <b>Nie mogę połączyć się z serwerem bazy danych.</b><br> <br> Proszę powiadom <a href="mailto:qba100@gmail.com">Wemastera qba100@gmail.com</a>. </div> </html>'); @mysql_select_db($_CONFIG['MySQL']['base']) or die('<html> <head> <meta http-equiv="Content-type" content="text/html; charset=iso-8859-2"> <title>Error</title> <style type="text/css"> body { background: #FFFFFF; } div { font-family: Verdana, Arial; font-size: 12px; color: #000000;} </style> </head> <body> <div> Przepraszamy, wystąpiła chwilowa awaria serwisu.<br> <br> <b>Nie mogę odnaleść bazy Danych.</b><br> <br> Proszę powiadom <a href="mailto:qba100@gmail.com">Wemastera qba100@gmail.com</a>. </div> </html>'); function login() { global $_CONFIG; if ('ok' == $_COOKIE['zalogowany'] AND md5('ok') != $_SESSION['zalogowany']){ $_SESSION['zalogowany'] = md5('ok') ; } if (md5('ok') != $_COOKIE['zalogowany'] AND md5('ok') != $_SESSION['zalogowany']){ if(isset($_POST['login']) AND isset($_POST['haslo'])) { $login = md5(strtolower($_POST['login'])); $haslo = md5($_POST['haslo']); $metod = "post"; } elseif(isset($_COOKIE['JumpPHP_'.md5('login')]) AND isset($_COOKIE['JumpPHP_'.md5('haslo')])) { $login = $_COOKIE['JumpPHP_'.md5('login')]; $haslo = $_COOKIE['JumpPHP_'.md5('haslo')]; $metod = "cookies"; } if(isset($metod)) { $query = mysql_query("SELECT `user`,`pass`,`nick`,`lvl`,`u1` ,`u2` ,`u3` ,`u4` ,`u5` ,`u6`,`u7` , `nazwisko` ,`email` ,`data` FROM `users` WHERE `user`='".$login."' AND `pass`='".$haslo."';"); if(mysql_num_rows($query) == 1) { $wiersz = mysql_fetch_array($query); $_SESSION['zalogowany'] = md5('ok'); $_SESSION['login'] = $wiersz['user']; $_SESSION['haslo'] = $wiersz['pass']; $_SESSION['nick'] = $wiersz['nick']; $_SESSION['u1'] = $wiersz['u1']; $_SESSION['u2'] = $wiersz['u2']; $_SESSION['u3'] = $wiersz['u3']; $_SESSION['u4'] = $wiersz['u4']; $_SESSION['u5'] = $wiersz['u5']; $_SESSION['u6'] = $wiersz['u6']; $_SESSION['u7'] = $wiersz['u7']; $_SESSION['nazwisko'] = $wiersz['nazwisko']; $_SESSION['data'] = $wiersz['data']; $_SESSION['email'] = $wiersz['email']; $_SESSION['lvl'] = $wiersz['lvl']; } } } } ?> [PHP] pobierz, plaintext Plik ten znajduje się w folderze z .htaccess więc nikt nie ma do niego dostępu i inculduję go do innych plików. Co mogę zrobić by poprawić jescze bezpieczeństwo tego skryptu? -------------------- Qbix Media Project - Prosty Multiplatformowy Odtwarzacz Muzyki

ayeo Zobacz profil	15.12.2007, 16:47:10 Post #2
Grupa: Przyjaciele php.pl Postów: 1 202 Pomógł: 117 Dołączył: 13.04.2007 Skąd: 127.0.0.1 Ostrzeżenie: (0%)	Po co przechowujesz hasło i login w ciasteczkach? To napewno nie jest bezpieczne. Poza tym przechowywanie zminnych sesyjnych w plikach też nie jest najlepsze jeśli trzymasz tam hasła itd. Naprawdę trzymasz zakodowany login w bazie? -------------------- ayeo.pl

qba10 Zobacz profil	15.12.2007, 17:05:42 Post #3
Grupa: Zarejestrowani Postów: 264 Pomógł: 20 Dołączył: 19.08.2007 Skąd: Bryńsk k. Lidzbarka Welskiego (nie mylić z Warmińskim) Ostrzeżenie: (0%)	no fakt trzymanie hasel i loginu w sesesjach jest zbędne ale cookie jest potrzebne do zapamietania osoby by się ciągle logować nie musiała PS: Jak kodować to już na maksa -------------------- Qbix Media Project - Prosty Multiplatformowy Odtwarzacz Muzyki

ayeo Zobacz profil	15.12.2007, 18:00:26 Post #4
Grupa: Przyjaciele php.pl Postów: 1 202 Pomógł: 117 Dołączył: 13.04.2007 Skąd: 127.0.0.1 Ostrzeżenie: (0%)	Standardowo w w COOKIE (PHP robi to automatycznie) trzyma się identyfikator sesji poprostu. Na tej podstawie PHP kojarzy później kolejne wywołania i zmienne -------------------- ayeo.pl

« Następny starszy · PHP · Następny nowszy »

Reply to this topic

Start new topic

1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Standardowy · Przełącz na: Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Aktualny czas: 19.08.2025 - 03:18

Powered By IP.Board © 2025 IPS, Inc.
All changes by PHP.pl Administrators

Hosting zapewnia

NQ.pl hosting, trac, svn