Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: Logowanie, bezpieczeństwo sesji, dobrze czy źle?
Forum PHP.pl > Forum > PHP
xeo
15.08.2008, 19:43:30
Mam pliki do logowania do panelu ale nie wiem czy wszystko jest poprawnie zrobione, jeżeli coś jest źle to piszcie poprawie.
index.php (logowanie):
[PHP] pobierz, plaintext 
  1. <?php
  2. session_start();
  3.  
  4. if (!isset($_SESSION['kontrola_sesji'])){
  5. 	session_regenerate_id();
  6. 	$_SESSION['kontrola_sesji'] = true;
  7. 	$_SESSION['adres_ip'] = $_SERVER['REMOTE_ADDR'];
  8. }
  9. if($_SESSION['adres_ip'] !== $_SERVER['REMOTE_ADDR']){
  10. 	$info = "Błąd: Próba przejęcia sesji!";
  11. 	exit;
  12. }
  13.  
  14. // użytkownicy
  15. include('users.php');
  16.  
  17. $login = $_POST['login'];
  18. $haslo = $_POST['haslo'];
  19.  
  20. $haslo = sha1($haslo);
  21. foreach($uzytkownicy as $id => $dane) {
  22. 	if($dane['login'] == $login && $dane['haslo'] == $haslo) {
  23. 		$_SESSION['uzytkownik'] = $id;
  24. 	}
  25. }
  26.  
  27. $info = "";
  28.  
  29. if(isset($_SESSION['uzytkownik'])) {
  30. 	header ('Location: panel.php');
  31. } else {
  32. 	if(isset($id) && !empty( $_POST['login'] ) && !empty( $_POST['haslo'] )) {
  33. 		$info = "Podałeś zły login lub hasło!";
  34. 	}
  35. ?>
  36.  
  37. formularz logowania
  38.  
  39. <?php
  40. }
  41. ?>
[PHP] pobierz, plaintext
users.php (użytkownicy i hasła):
[PHP] pobierz, plaintext 
  1. <?php
  2. $uzytkownicy = array(=>
  3. 	 array('login' => 'user1', 'haslo' => sha1('u1')),
  4. 	 array('login' => 'user2', 'haslo' => sha1('u2'))
  5. );
  6. ?>
[PHP] pobierz, plaintext
panel.php (strona widoczna po zalogowaniu):
[PHP] pobierz, plaintext 
  1. <?php
  2. session_start();
  3.  
  4. if(isset($_SESSION['uzytkownik'])) {
  5. ?>
  6.  
  7. strona widoczna po zalogowaniu
  8.  
  9. <?php
  10. } else {
  11. 	header ('Location: index.php');
  12. }
  13. ?>
[PHP] pobierz, plaintext


i druga sprawa to bezpieczeństwo sesji, a dokładnie czy kod:
[PHP] pobierz, plaintext 
  1. <?php
  2. if (!isset($_SESSION['kontrola_sesji'])){
  3. 	session_regenerate_id();
  4. 	$_SESSION['kontrola_sesji'] = true;
  5. 	$_SESSION['adres_ip'] = $_SERVER['REMOTE_ADDR'];
  6. }
  7. if($_SESSION['adres_ip'] !== $_SERVER['REMOTE_ADDR']){
  8. 	$info = "Błąd: Próba przejęcia sesji!";
  9. 	exit;
  10. }
  11. ?>
[PHP] pobierz, plaintext
muszę dodać do każdego pliku?
dadexix
15.08.2008, 20:00:47
php automatycznie kojaży ip, przegladarke i inne z sessją i użycie da niepowodzenie
xeo
16.08.2008, 07:39:48
Nie wiem czy dobrze zrozumiałem, czyli wystarczy dać ten kod tylko w pliku z logowaniem?
Mlodycompany
16.08.2008, 07:56:23
jak masz pętle foreach to w warunku dodaj break; ponieważ gdy masz 100 userów i user który chce sie zalogować jest pierwszy to wyszuka go, ale nadal bedzię szukało go w tablicy, a break; zastopuje działanie pętli czyli skrypt będzie bardziej optymalny
xeo
16.08.2008, 08:26:30
ok dzięki break dodany smile.gif
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.