Forum PHP.pl > [PHP]System logowania php

Pomoc - Szukaj - Użytkownicy - Kalendarz

Pełna wersja: [PHP]System logowania php - dobry ?

Forum PHP.pl > Forum > Przedszkole

revi

8.11.2016, 20:50:44

Napisałem sobie skrypt logowania do strony.
I mam takie pytanie: Czy to jest dobre zabezpieczenie

(hasło oczywiście będzie inne

)

INDEX:

[PHP] pobierz, plaintext 
<?php  session_start(); 
 
 
 
?>
<html>
<head>
<title>Strona na haslo</title>
</head>
<body>
<form method="post" action="">
        Hasło <input value="" type="password" name="haslo" />
        <input type="submit" name="submit" value="Zaloguj" />
</form>
 
<a href="tajne.php">ZASZYFROWANA STRONA</a>
 
 
 
<?php
error_reporting(E_ALL ^ E_NOTICE);
$haslo = $_POST['haslo'];
$zakodowanehaslo = password_hash("test", PASSWORD_DEFAULT);
 
 
 
 
if(password_verify($haslo, $zakodowanehaslo)) 
{
 
 $_SESSION["test1"] = "zalogowany"; 
 header("Refresh: 0; tajne.php"); 
}else{
	header("/");
}
 
?>
 
 
</body>
</html>
 
[PHP] pobierz, plaintext

TAJNE.PHP:

[PHP] pobierz, plaintext 
<?php
session_start();
error_reporting(E_ALL ^ E_NOTICE);
if ($_SESSION["test1"] == "zalogowany")
{
?>
<html>
<head>
	<title>Tajne</title>
</head>
<body>
Witaj<br>
<a href="logout.php"><button>WYLOGUJ</button></a><br><br><br><br>
 
 
LAJ LAJL AJ
gsdgsdgadgs
sdgsadgsad
ążźćżźć
 
 
</body>
</html>
 
 
<?php
 
}else{
 
 header("Refresh: 0; /stronanahaslo");
}
 
?>
[PHP] pobierz, plaintext

nospor

8.11.2016, 20:57:22

eeee.... masz jedno haslo dla wszystkich userow. To raz
A dwa nie ma co tego hasla kodowac skoro i tak wszystko to jedno haslo zapisane w pliku

ps:
error_reporting(E_ALL ^ E_NOTICE);
masz reportowac wszystkie bledy nawet NOTICE bo inaczej pewnego dnia obudzisz sie z reka w nocniku

revi

8.11.2016, 21:02:27

znaczy stronka przeznaczona tylko dla mnie, tak żeby nikt inny nie miał do niej dostępu, nie będzie żadnego innego użytkownika.

/edit

error_reporting(E_ALL ^ E_NOTICE); - usunięte
hasło poprawione.

Poza tym wszystko ok ?

nospor

8.11.2016, 21:05:16

Punkt nr 2 i 3 nadal aktualny. Tak jak to zrobiles, kodowanie hasla nie ma zadnego sensu

revi

8.11.2016, 21:08:05

INDEX:

[PHP] pobierz, plaintext 
<?php  session_start(); 
 
 
 
?>
<html>
<head>
<title>Strona na haslo</title>
</head>
<body>
<form method="post" action="">
        Hasło <input value="" type="password" name="haslo" />
        <input type="submit" name="submit" value="Zaloguj" />
</form>
 
<a href="tajne.php">ZASZYFROWANA STRONA</a>
 
 
 
<?php
$haslo = $_POST['haslo'];
 
if($haslo == "test") 
{
 
 $_SESSION["test1"] = "zalogowany"; 
 header("Refresh: 0; tajne.php"); 
}else{
	header("/");
}
 
?>
 
 
</body>
</html>
 
[PHP] pobierz, plaintext

TAJNE.PHP

[PHP] pobierz, plaintext 
<?php
session_start();
 
if ($_SESSION["test1"] == "zalogowany")
{
?>
<html>
<head>
	<title>Tajne</title>
</head>
<body>
Witaj<br>
<a href="logout.php"><button>WYLOGUJ</button></a><br><br><br><br>
 
 
LAJ LAJL AJ
gsdgsdgadgs
sdgsadgsad
ążźćżźć
 
 
</body>
</html>
 
 
<?php
 
}else{
 
 header("Refresh: 0; /stronanahaslo");
}
 
?>
[PHP] pobierz, plaintext

Shou

8.11.2016, 22:04:29

To typowy przykład logowania. OK, pod warunkiem, że hasło będzie wystarczająco trudne. W przeciwnym razie warto dodać jakikolwiek mechanizm antywłamaniowy zliczający błędnie wpisane dane.

nospor

9.11.2016, 10:23:35

Ja ci nie kazalem kasowac tej linii
error_reporting(E_ALL ^ E_NOTICE);

Ja mowilem o jej modyfikacji czyli
error_reporting(E_ALL);

No chyba ze w php.ini okresliles poziom logowania bledow

To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.