[PHP] czy to bezpieczne odrazu podać w $_SESSION['user'], nazwę użytkownika zamiast wartości zmiennej? Opcje

[hiszpanespaniol]

zalogować może się tylko jeden użytkownik i tylko z jednym hasłem. bez możliwości zmiany tych parametrów (ja je ustawiam raz na zawsze). Nie chcę więc tworzyć osobnego pliku z tymi parametrami (szyfrowanymi lub nie).

Pytanie brzmi, czy bezpiecznie jest zrobić taki skrypt?

[PHP] pobierz, plaintext 
<?php
if (isset($_SESSION['kim_jestem']) && $_SESSION['kim_jestem'] == jasio) {
echo "
 zalogowany jako " .$_SESSION['kim_jestem']. "<br> <a href=\"wyloguj.php\">wyloguj</a>
";
}
else
{
header("Location:logowanie.php");
}
?>
[PHP] pobierz, plaintext 

[Crozin]

Trochę bezpieczniej było by porównywać hashe:

[PHP] pobierz, plaintext 
<?
if(md5($_SESSION['kim_jestem']) == '4ea19358f71379f9bd8fe8e1708812fc') //4ea19358f71379f9bd8fe8e1708812fc = md5('jasio')
?>
[PHP] pobierz, plaintext 

[hiszpanespaniol]

wiem, że "trochę". bo skoro ktoś już się pomęczy i JAKIMŚ CUDEM dostanie ten mój kod PHP w swoje ręce, to bez problemu odkoduje sobie zakodowany nick za pomocą jakiegoś dekodera online albo własnego. Skoro więc to możliwe (zakładając że jakoś dostanie mój PHP), to po co mam sobie utrudniać sprawę jeśli itak nie zwiększa to bezpieczeństwa.

Pytanie z tematu nadal więc pozostaje

[Crozin]

Bo jeżeli hasło jest bezpieczne (czyt.: długie, zawiera litery (duże i małe), cyfry, znaki) to "złamanie" go brute-forcem może potrwać na tyle długo, że potencialny "włamywacz" zrezygnuje. Ale z drugiej strony - mając dostęp do pliku, będzie mieć prawdopodobnie dostęp do zapisu i sobie poprostu zmieni to hasło (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)

[hiszpanespaniol]

nadal nie wiem, czy takie rozwiązanie (to z tematu) jest bezpieczne. już nie chodzi mi o to co jest bezpieczniejsze, ale jedynie o to czy to konkretnie jest bezpieczne. Taka sytuacja, ze ktoś dostanie kod php jest dosyć skrajna i właściwie łamie wszelkie możliwości zabezpieczania. Drugą możliwością jaką dla siebie widzę, jest umieszczenie hasła i loginu w osobnym skrypcie o poziom wyżej niż public_html. ale właśnie takiego umieszczania chciałem uniknąć.

[.radex]

nazwę usera możesz podać bez haszowania, ale pod warunkiem, że masz zahaszowane inne dane w sesji, które udowodnią własność konta.

[hiszpanespaniol]

z tej rozmowy wnioskuję:

to rozwiązanie JEST bezpieczne, ale z szyfrowaniem (np algorytmem MD5).

Dziękuję i pozdrawiam, problem rozwiązany...

[.radex]

MD5 nie szyfruje, tylko haszuje.

MD5 nie można odszyfrować.

Ten post edytował radex_p 23.05.2008, 10:36:21

[hiszpanespaniol]

no to świetnie (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) czyli właściwie mając nawet ten ciąg:

[PHP] pobierz, plaintext 
<?php
4ea19358f71379f9bd8fe8e1708812fc
?>
[PHP] pobierz, plaintext 

który jest zahaszowanym hasłem, ewentualnemu cracker'owi nie uda się szybko odgadnąć że to "jasio". w skrypcie "zalogowaność" sprawdzam więc tak:

[PHP] pobierz, plaintext 
<?php
if (isset($_SESSION['kim_jestem']) && md5($_SESSION['kim_jestem']) == '4ea19358f71379f9bd8fe8e1708812fc')
{
  echo "<b>Witaj: </b>".$_SESSION['user'];
}
?>
[PHP] pobierz, plaintext 

Niema w moim przypadku potrzeby zapisu danych gdziekolwiek oprócz wnętrza skryptu, a nawet tam "jasio" (czyli hasło) jest haszowany. Jak widać w kodzie powyżej "kim_jestem" nie jest loginem. Jest hasłem. Zrobiłem tak dlatego, ze login wyskakiwał w formularzu logowania po kliknięciu w puste pole (podpowiedź przeglądarki), z hasłem się tak nie dzieje. Teraz już jest bezpiecznie (md5 hasła służy do weryfikacji bycia zalogowanym).
Poprawcie mnie jeśli popełniam jakiś ideologiczny błąd typu "nigdy nie weryfikuj za pomocą hasła"

[pyro]

zalogować może się tylko jeden użytkownik i tylko z jednym hasłem. bez możliwości zmiany tych parametrów (ja je ustawiam raz na zawsze). Nie chcę więc tworzyć osobnego pliku z tymi parametrami (szyfrowanymi lub nie).

Pytanie brzmi, czy bezpiecznie jest zrobić taki skrypt?

[PHP] pobierz, plaintext 
<?php
if (isset($_SESSION['kim_jestem']) && $_SESSION['kim_jestem'] == jasio) {
echo &#092;"
 zalogowany jako &#092;" .$_SESSION['kim_jestem']. \"
 <a href=&#092;"wyloguj.php\">wyloguj
&#092;";
}
else
{
header(&#092;"Location:logowanie.php\");
}
?>
[PHP] pobierz, plaintext 

zrobiles male bledy...
</a href=\"wyloguj.php\">

[PHP] pobierz, plaintext 
<?php
if (
// {to nie jest potrzebne} isset($_SESSION['kim_jestem']) && 
$_SESSION['kim_jestem'] == 'jasio') { // nie dales cudzyslowow do jasio
// a co z haslem?
echo "
 zalogowany jako " .htmlspecialchars($_SESSION['kim_jestem']). " // dodalem htmlspecialchars, z pwoodu mozliwosci ataku XSS
 wyloguj
";
}
else
{
header("Location:logowanie.php");
}
?>
// uzywanie md5 nie jest tu potrzebne, to jest bezpieczne
[PHP] pobierz, plaintext 

<a href=\"wyloguj.php\">
</a href=\"wyloguj.php\">

Ten post edytował pyro 23.05.2008, 14:28:18

[.radex]

jest ok. Ja generalnie robię to podobnie:

jedna sesja z nazwą usera
i druga sesja ze specjalnie spreparowanym tekstem, który udowadnia tożsamość. Tym tekstem może być właśnie hasło.

[hiszpanespaniol]

to ja może podam całość jaką teraz mam, żeby nie było wątpliwości czemu sprawdzam tylko jedną wartość:

to jest formularz logowania HTML (plik index.php):

[PHP] pobierz, plaintext 
<?php
if (isset($_SESSION['kim_jestem']) && md5($_SESSION['kim_jestem']) == '4ea19358f71379f9bd8fe8e1708812fc')
{
  echo "<b>Witaj człowieku: </b><br>\n<a href=\"logout.php\">Wyloguj się</a><br>\n<a href=\"zalogowany.php\">Twoja strona</a>";
}
else{
echo "
<form method=\"POST\" action=\"sprawdz.php\">
<table>
<tr><th align=\"right\">Login:</th><td align=\"left\"><input type=\"text\" name=\"login\"></td></tr>
<tr><th align=\"right\">Hasło:</th><td align=\"left\"><input type=\"password\" name=\"haslo\"></td></tr>
<tr><td align=\"center\" colspan=\"2\"><input type=\"submit\" value=\"loguj\" name=\"logowanie\"></td></tr>
</table>
</form>
";
}
?>
[PHP] pobierz, plaintext 

Taki skrypt sprawdza formularz logowania (jest to plik sprawdz.php)

[PHP] pobierz, plaintext 
<?php
session_start(); 
if($_POST['logowanie']){
  $pobrany_login = htmlspecialchars($_POST['login']);
  $pobrane_haslo = htmlspecialchars($_POST['haslo']);
  if($pobrany_login == 'jasio' && md5($pobrane_haslo) == '4ea19358f71379f9bd8fe8e1708812fc'){
	$_SESSION['kim_jestem'] = md5($pobrane_haslo);
	header("Location:zalogowany.php");
  }
  else{
	header("Location:index.php");
  }
}
else{
  header("Location:index.php");
}
?>
[PHP] pobierz, plaintext 

a tak wygląda dowolna strona dostępna tylko po zalogowaniu (startowa to zalogowany.php):

[PHP] pobierz, plaintext 
<?php
session_start();
if (isset($_SESSION['kim_jestem']) && md5($_SESSION['kim_jestem']) == '4ea19358f71379f9bd8fe8e1708812fc') {
echo "
jesteś zalogowany. Tutaj możesz sobie zmieniać swoje wpisy<br> <a href=\"logout.php\">wyloguj</a>
";
}
else
{
header("Location:index.php");
}
?>
[PHP] pobierz, plaintext 

ostatni plik który wyloguje użytkownika (logout.php):

[PHP] pobierz, plaintext 
<?php
session_start(); 
if (isset($_SESSION['kim_jestem']))
{
  echo "zostałeś wylogowany<br>";
  echo "<a href=\"index.php\">Strona Główna</a>";
  session_destroy();
}
else{
  header("Location:index.php");
}
?>
[PHP] pobierz, plaintext 

"a co z hasłem?"
jak widać w pliku zalogowany.php sprawdzam tylko jedną wartośc. a to dlatego, że jest ona tworzona w pliku sprawdz.php jedynie kiedy zgadza się i login i hasło (narazie są jednakowe).
co do tego, że niepotrzenie sprawdzam, czy $_SESSION['kim_jestem'] w ogóle jest zdefiniowana, to czytałem gdzies, ze PHP inaczej zareaguje w przypadku jedynie sprawdzania wartości, a inaczej w przypadku sprawdzania i istnienia i wartości. Nie pamiętam tego, ale coś mi się kojarzy z jakimś E_NOTICE.

teraz już widac całość tej strony mojej. Nigdzie niema hasła odkrytego.