[php]Prosty mechanizm logowania z zastosowaniem sesji, Zobaczcie czy to ma sens Opcje

[MGreg]

Witam,
Nie znam się dobrze na php, więc nie atakujcie mnie jak coś jest nie tak.
Zobaczcie czy ten skrypcik logowania z zastosowaniem sesji jest sensowny i co najważniejsze - bezpieczny.

Nie zwracajcie uwagi na to, że dane użytkownika są pobierane z tabeli bazy forum phpbb, to tylko przykład.
Najlepiej jakby ktoś zarzucił to sobie na localhosta i posprawdzał dokładnie.
Z góry dzięki.

[PHP] pobierz, plaintext 
<?
include('baza.php');
pol_mysql();
 
session_start();
 
$user_ip = $_SERVER['REMOTE_ADDR'];
$time = date('H:i');
 
$sesja_anim = md5($user_ip.$time); #sesja użytkownika anonimowego
$sesja_uzytkownika = md5($user.$pass.$time.$user_ip);
 
if(!isset($_SESSION['uzytkownik']))
	{		
	$_SESSION['uzytkownik'] = $sesja_anim; #inicjuje sesję użytkownika anonimowego	
	echo "została zinicjowana sesja użytkownika anonimowego<br>";
	}
 
 
if($_SERVER['REQUEST_METHOD'] == 'POST')
	{
	$login = $_POST['login'];
	$haslo = md5($_POST['password']);
 
	if($_POST['login'] and !$_POST['password'])
		{
		echo "Musisz podać hasło!";
		}
 
	if(!$_POST['login'] and $_POST['password'])
		{
		echo "Musisz podać login!";
		}
 
	if(!$_POST['login'] and !$_POST['password'])
		{
		echo "Nie wypełniono pól!";
		}
	if($_POST['login'] and $_POST['password'])
		{
 
		$pobierz_usera = mysql_query("select username,user_password from phpbb_users where `username`='$login'");
		while($napisz_usera = mysql_fetch_row($pobierz_usera))
			{
			$user = $napisz_usera[0];
			$pass = $napisz_usera[1];
			}
 
		if($login != $user)
			{
			echo "Nie ma takiego użytkownika";			
			}
 
		else
			{
			if($pass == $haslo)
				{				
				$_SESSION['uzytkownik'] = $sesja_uzytkownika;
				$sesja_anim = "";
				echo "Zalogowany jako $user <br> <a href=logowanie.php?akcja=wyloguj>Wyloguj</a>";
				}
			else
				{
				echo "podano złe hasło!";
				}
			}
 
		}
	}
 
if($_SESSION['uzytkownik'] == $sesja_anim)
	{	
	echo "<form action=logowanie.php method=post>
					<input type=text name=login><br>
					<input type=text name=password><br>
					<input type=submit value=\"Zaloguj\">
				</form>
				";
	}	
 
 
 
if($akcja == 'wyloguj')
		{
			$sesja_uzytkownika = "";
			$_SESSION['uzytkownik'] = $sesja_anim;
			echo "Zostałeś wylogowany<br><a href=logowanie.php>Wróć</a>";
		}
 
?>
[PHP] pobierz, plaintext 

Ten post edytował MGreg 26.03.2008, 16:21:56

[Cysiaczek]

Popraw proszę tytuł topiku na zgodny z zasadami forum Przedszkole

[Petermechanic]

Skrypt nie jest do końca bezpieczny, jest narażony na SQL Injection. Szczególnie pobieranie użytkownika po nicku. Nie zabezpieczyłeś niczym $_POST['login']

Ten post edytował Petermechanic 26.03.2008, 16:42:59

[MGreg]

Pisząc to nie skupiałem się na zebezpieczeniu zapytań, ale dzięki Teraz pozostaje tylko sprawa bezpieczeństwa sesji.

[Petermechanic]

sesje jako tako same nie są narażone na atak, chyba, że ktoś z tego samych ustawień serwera przechwyci cookie i tym samym id sesji, albo sesja ma czas życia i zachowuje się po resecie przeglądarki - można ją łatwo wykraść

[Pilsener]

Ale warto się zabezpieczyć, używać takich rzeczy jak:
ini_set('session.use_only_cookies', true);
output_add_rewrite_var
session_regenerate_id

Identyfikatory sesji powinny być przekazywane tylko przez cookie - warto to wymusić. Dodatkowo można też dodać dodatkowy znacznik sesji, który będzie przekazywany w adresie URL. Dałbym link do jakiegoś praktycznego przykładu, niestety nie znalazłem takiego (ale może słabo szukałem

[-mag32-]

Taka drobna uwaga. Wydaje mi się, że nie powinieneś zwracać komunikatu o błędzie hasła lub loginu, jeśli już, to komunikat o błędzie jednego lub drugiego.
Czyli: "Zły login lub hasło"

To taka drobniutka uwaga.

[help_mee]

Tak jak powiedział Petermechanic zabezpiecz to przed SQL Injection.
Najlepiej

[PHP] pobierz, plaintext 
<?php
$login = addslashes($_POST['login']);
?>
[PHP] pobierz, plaintext