Forum PHP.pl

Zdaję sobie sprawę że dużo już takich tematów było, jednak interesuje mnie Wasza opinia na temat kodu mojego autorstwa, czy jest to w pełni bezpieczne, co należałoby poprawić w tej kewsti oraz w optymalnym działaniu.

[PHP] pobierz, plaintext 
<?php 
ob_start();
 
 
// zabezpieczenie danych odebranych z $_POST
function zgp($danezget){return htmlspecialchars(strip_tags(trim(stripslashes($danezget))));}
// zabezpieczenie danych wysyłanych do bazy
function wds($zrodlo){return htmlspecialchars(mysql_real_escape_string(trim($zrodlo)));}
 
// odbieranie i sprawdzenie danych z formularza $_POST
if (isset($_POST['signin'])){
 
	if (isset($_POST['login']) && isset($_POST['password'])){ //sprawdzenie czy login i hasło zostało przesłane
 
		$login = zgp($_POST['login']); //oczyszczenie funkcją 
		$password = $_POST['password'];
 
		//sprawdzanie loginu
		$loginnotallowed = array(	'admin', 'administrator', 'admini', 'root', 'reboot', 'poweroff', ' ');
		if(in_array($login, $loginnotallowed)) {$error=1; echo 'Wybrany login jest zablokowany.';} //porównanie loginu z listy zablokowanej
		if (empty($login)) {$error=1; echo 'Wypełnij pole login.';} //sprawdza czy pole jest puste
		if(!preg_match("/[a-z0-9_]/",$login)){$error=1; echo 'Wpisałeś niedozwolone znaki';} // tylko małe litery i liczby oraz dolny myślink
		if(preg_match("/[A-Z]/",$login)){$error=1; echo 'Tylko małe litery.';} // błąd w przypadku wpisania dużych liter
		if(preg_match("/[\s\r\n]/",$login)){$error=1; echo 'Login nie może zawierać spacji.';} //błąd w przypadku użycia spacji
 
		//sprawdzanie hasła		
		if (empty($password)) {$error=1; echo 'Wypełnij pole hasło.';} //sprawdza czy pole jest puste
		echo '<br />';var_dump ($error);echo '<br />';echo $error;
 
		if (!$error){// jeśli zadny z powyrzszych ifów nie zwrócił błedu $error = 1;
 
		require_once('connect.php'); //połaczenie z bazą
 
		$login = wds($_POST['login']); //oczyszczenie funkcją wysyłającą do bazy
		$password = md5($_POST['password']); //kodowanie md5
 
		$sprawdzlogin = mysql_query("SELECT id, login, password FROM userlogin WHERE login = '$login' AND password = '$password' LIMIT 1"); 
		$wyniksprawdz = mysql_num_rows($sprawdzlogin); //sprawdzanie loginu i hasła
 
		if(!$wyniksprawdz){//sprawdzanie wynikiu odebranego z bazy
		$errordb=1; echo 'nieprawidłowy login lub hasło';
		}
 
		if(!$errordb){echo '!logowanie';}
 
 
 
		}
 
	}//koniec sprawdzania danych login - hasło	
 
}//koniec sprawdzania danych
[PHP] pobierz, plaintext 

Ten post edytował !*! 13.07.2010, 13:00:56

Wygląda ok, ale możesz "posolić" hasła dla bezpieczeństwa, lub od obecnego hasła(w md5) odjąć kilka znaków - dużo jest możliwości. (IMG:style_emoticons/default/winksmiley.jpg)

A i jeszcze czy mógłbyś/moglibyście mi powiedzieć czy zastosowanie



Jest porpawne przy odbieraniu/sprawdzaniu danych z bazy, czy się zgadzają... wcześniej używałem



Jednak ktoś mi powiedział że powinno się to robić na zasadzie takiej jakiej tu użyłem. Jednak nie jestem pewien czy jest to dobrze zrobione.

Obie są poprawne, a dla testu możesz napisać taki przykładowy kod:

[PHP] pobierz, plaintext 
<?php
$wynik=0;// zobaczysz napis nie działa, następnie jak odpalisz ten skrypt zmień na $wynik=1;
if(!$wynik)
	{
	    echo"nie dziala";
	}
	else
	{
	     echo'dziala';
	}
?>
[PHP] pobierz, plaintext 

[PHP] pobierz, plaintext 
$login = zgp($_POST['login']); //oczyszczenie funkcją
$password = $_POST['password'];
(...)
login = wds($_POST['login']); //oczyszczenie funkcją wysyłającą do bazy
$password = md5($_POST['password']); //kodowanie md5
[PHP] pobierz, plaintext 

Dlaczego hasła też nie oczyszczasz?

Ten post edytował iVorIus 13.07.2010, 13:39:26

Ponieważ to co jest przesyłane do bazy i tak jest zakodowane w MD5. Nie mam kontroli nad hasłem bo może, a nawet powinno zawierać różne znaki.

Poczytaj o sql injection, a dowiesz się dlaczego powinno się filtrować wszystkie zmienne przychodzące.

fakt racja, przefiltruję to przy pierwszym sprawdzeniu, jednak czy jest sens przed wysłaniem tego do bazy skoro jest to md5?

kolejny blad ;] przeslij sobie arraya i zobaczysz co ci wypluje (IMG:style_emoticons/default/smile.gif)

Jeśli hasło będzie zakodowane w md5 to jaki jest sens filtracji ?

nie wiem czy wiecie ale gdy przesle sie do md5() i wielu innych arraya zamiast danych to wypluwa nam ladne sciezki ktorych nieraz brakuje aby sie wlamac (IMG:style_emoticons/default/smile.gif)

To czym i jak to przefiltrować? Przecież nie dam ograniczenia na znaki (IMG:style_emoticons/default/winksmiley.jpg) sam mysql_real_escape_string wystarczy i md5? W innym wypadku całkowicie zmieni to hasło które poda użytkownik.

na sam poczatek daj is_array() jezeli nie jest to daj md5 i styknie a jezeli bedzie to tablica to wiecie co z nia zrobic (IMG:style_emoticons/default/tongue.gif)

Jakie ścieżki? Chodzi Ci o coś takiego?



To i tak jest niewidoczne w końcowej fazie udostępniania skryptu. Nikt przy zdrowych zmysłach nie zostawia tej opcji włączonej na serwerze.

Ten post edytował !*! 19.07.2010, 20:12:50

typowe podejscie informatyka lepiej wyciszyc niz wyeliminowac (IMG:style_emoticons/default/biggrin.gif) http://gynvael.coldwind.pl/?id=246

Poprawiłem to według wskazówek.

[PHP] pobierz, plaintext 
<?php 
ob_start();
 
// zabezpieczenie danych odebranych z $_POST
function zgp($danezget){return htmlspecialchars(strip_tags(trim(stripslashes($danezget))));}
// zabezpieczenie danych wysyłanych do bazy
function wds($zrodlo){return htmlspecialchars(mysql_real_escape_string(trim($zrodlo)));}
 
// odbieranie i sprawdzenie danych z formularza $_POST
if (isset($_POST['signin'])){
 
	if (isset($_POST['login']) && isset($_POST['password'])){ //sprawdzenie czy login i hasło zostało przesłane
 
		$login = zgp($_POST['login']); //oczyszczenie funkcją 
		$password = $_POST['password'];
 
		//sprawdzanie loginu
		$loginnotallowed = array(	'admin', 'administrator', 'admini', 'root', 'reboot', 'poweroff', ' ');
		if(in_array($login, $loginnotallowed)) {$error=1;} //porównanie loginu z listy zablokowanej
		if (empty($login)) {$error=1;} //sprawdza czy pole jest puste
		if(!preg_match("/[a-z0-9_]/",$login)){$error=1;} // tylko małe litery i liczby oraz dolny myślink
		if(preg_match("/[A-Z]/",$login)){$error=1;} // błąd w przypadku wpisania dużych liter
		if(preg_match("/[\s\r\n]/",$login)){$error=1;} //błąd w przypadku użycia spacji
		if(is_array($login)){$error=1;unset($login);} //błąd w wypadku tablicy i usunięcie jej
 
 
		//sprawdzanie hasła		
		if (empty($password)) {$error=1;} //sprawdza czy pole jest puste
		if(is_array($password)){$error=1;unset($password);} //błąd w wypadku tablicy i usunięcie jej
 
		if ($error){echo 'Niepoprawny login lub hasło';}
 
		if (!$error){// jeśli zadny z powyższych ifów nie zwrócił błedu $error = 1;
 
		require_once('connect.php'); //połączenie z bazą
 
		$login = wds($_POST['login']); //oczyszczenie funkcją wysyłającą do bazy
		$password = md5($_POST['password']); //kodowanie md5
 
		$sprawdzlogin = mysql_query("SELECT id, login, password FROM userlogin WHERE login = '$login' AND password = '$password' LIMIT 1"); 
		$wyniksprawdz = mysql_num_rows($sprawdzlogin); //sprawdzanie loginu i hasła
 
		if(!$wyniksprawdz){//sprawdzanie wynikiu odebranego z bazy
		$errordb=1; echo 'Niepoprawny login lub hasło';
		}
 
		if(!$errordb){ // logowanie 		
			$_SESSION['logon'] = 1; //potwierdza poprawne zalogowanie
			$_SESSION['ip'] = $_SERVER['REMOTE_ADDR']; //umieszcza w sesji adres IP użytkownika
			$_SESSION['useragent'] = $_SERVER['HTTP_USER_AGENT']; //umieszcza w sesji useragenta użytkownika
			header('Location: http://'.DOMAIN_NAME.'/start');
			exit;		
 
		}
 
 
 
		}
 
	}
 
}
 
[PHP] pobierz, plaintext 

Teraz jest dobrze? Macie jeszcze jakieś propozycje, sugestie odnośnie poprawienia bezpieczeństwa? Zdaję sobie sprawę że temat był wałkowany nie raz, jednak przy właśnie takim wałkowaniu można się czegoś nauczyć (IMG:style_emoticons/default/winksmiley.jpg)
ps. czy któryś z moderatorów mógłby poprawić temat? U mnie wyskakuje komunikat że nie mogę tego zrobić przy zapisywaniu.

Ten post edytował !*! 20.07.2010, 11:04:01

Do komunikacji z bazą użyłbym PDO i zapytań preinterpretowanych . Oczywiście w formularzu ograniczasz maksymalną długość wpisywanego loginu i hasła, prawda?

[PHP] pobierz, plaintext 
// powyższych
[PHP] pobierz, plaintext 

Tak, sprawdzam długość loginu i hasła nawet po stronie php, jednak zapomniałem je tu spowrotem wkleić przy edycji. PDO... próbuję podejść do tego któryś raz i nie za bardzo mi wychodzi, mam problem ze zrozumieniem wszystkiego co obiektowe.

Edycja:

Poprawka, hasło przesłane zaraz w formularzu nie może być obronione w md5, ponieważ po wpisaniu loginu jakiegokolwiek znaku, md5 nawet jak hasła nie ma, to zostanie połączenie do bazy i wysłanie odpowiedzi... Czyli hasło kodować w md5 tylko przy wysyłaniu do bazy? a co z odebraniem z formularza przy sprawdzaniu?