Witam,
znalazłem ostatnio taki oto gotowy kod rejestracji/logowania na stronę: http://php.about.com/od/finishedphp1/ss/php_login_code.htm
Czy ten kod jest bezpieczny? Jeśli nie, to bardzo proszę o wyjaśnienie.
Chodzi mi głównie o cookiesy/sesje - czy takie wykorzystanie jest prawidłowe.
Z góry dziękuję.
Pełna wersja: [PHP] Czy to logowanie jest bezpieczne?
Kod logowania i rejestracji wydaje się bezpieczny. Jednak zalecam do budowania zapytań do bazy danych bibliotekę PDO.
Czy na pewno potrzebujesz zakładanie ciasteczek po przez funkcje setcookie()? Myślę, że łatwiej będzie Tobie operować z pomocą takich funkcji jak session_start(), session_destroy() i globalna tablica $_SESSION.
Pozdrawiam, ML
Czy na pewno potrzebujesz zakładanie ciasteczek po przez funkcje setcookie()? Myślę, że łatwiej będzie Tobie operować z pomocą takich funkcji jak session_start(), session_destroy() i globalna tablica $_SESSION.
Pozdrawiam, ML
Dziękuję za szybką odpowiedź.
Chciałbym mieć możliwość "zapamiętaj mnie" przy logowaniu, a do tego cookie'sy raczej są niezbędne. Chyba, że jest jakiś inny sposób, o którym nie wiem.
Chciałbym mieć możliwość "zapamiętaj mnie" przy logowaniu, a do tego cookie'sy raczej są niezbędne. Chyba, że jest jakiś inny sposób, o którym nie wiem.
Jakoś dziwnie napisany ten skrypt.
W kodzie powyżej nie podoba mi się:
1) Najpierw md5 a potem addslashes? Hm.
2) Dwukrotne addslashes na $_POST['username], bo parenaście linii wcześniej:
Po za tym, używanie niepotrzebnych dodatkowych zmiennych np. w tym wypadku usercheck:
Dalej przeleciałem tylko pobieżnie. Ogólnie pani Angela Bradley się nie popisała i dla mnie wygląda amatorsko, nie polecam.
W kodzie powyżej nie podoba mi się:
1) Najpierw md5 a potem addslashes? Hm.
2) Dwukrotne addslashes na $_POST['username], bo parenaście linii wcześniej:
Po za tym, używanie niepotrzebnych dodatkowych zmiennych np. w tym wypadku usercheck:
Dalej przeleciałem tylko pobieżnie. Ogólnie pani Angela Bradley się nie popisała i dla mnie wygląda amatorsko, nie polecam.
A... jeśli potrzebujesz taką funkcjonalność to jak najbardziej. Mały hint.
Co nie zmienia faktu, że podstawowe zabezpieczenia są. Chyba, że rzeczywiście cafepl__com chce użyć na tym Ctrl+C, Ctrl+V, wtedy nie bardzo, ale wierzę, że po prostu chce mieć tylko pogląd na użyte funkcje.
Cytat(redeemer @ 23.01.2010, 19:50:56 ) 
Jakoś dziwnie napisany ten skrypt.
W kodzie powyżej nie podoba mi się:
1) Najpierw md5 a potem addslashes? Hm.
2) Dwukrotne addslashes na $_POST['username], bo parenaście linii wcześniej:
Po za tym, używanie niepotrzebnych dodatkowych zmiennych np. w tym wypadku usercheck:
Dalej przeleciałem tylko pobieżnie. Ogólnie pani Angela Bradley się nie popisała i dla mnie wygląda amatorsko, nie polecam.
W kodzie powyżej nie podoba mi się:
1) Najpierw md5 a potem addslashes? Hm.
2) Dwukrotne addslashes na $_POST['username], bo parenaście linii wcześniej:
Po za tym, używanie niepotrzebnych dodatkowych zmiennych np. w tym wypadku usercheck:
Dalej przeleciałem tylko pobieżnie. Ogólnie pani Angela Bradley się nie popisała i dla mnie wygląda amatorsko, nie polecam.
Co nie zmienia faktu, że podstawowe zabezpieczenia są. Chyba, że rzeczywiście cafepl__com chce użyć na tym Ctrl+C, Ctrl+V, wtedy nie bardzo, ale wierzę, że po prostu chce mieć tylko pogląd na użyte funkcje.
Bez przesady, nigdy nie kopiuję w całości kodu bez gruntownych oględzin i własnych poprawek
Co do hinta, ten kod jest bezpieczny?
Co do hinta, ten kod jest bezpieczny?
Cytat(cafepl_com @ 23.01.2010, 20:07:09 )
Bez przesady, nigdy nie kopiuję w całości kodu bez gruntownych oględzin i własnych poprawek
Co do hinta, ten kod jest bezpieczny?
Co do hinta, ten kod jest bezpieczny?
NIE, ten kod nie jest bezpieczny, ale masz tam pokazane jak mniej więcej zaimplementować funkcjonalność, którą wymagasz.
W Internecie jest masa publikacji jak zabezpieczyć skrypty PHP, które wykonują zapytania do bazy, więc nie powinieneś mieć problemów, użyj jeszcze tylko troszkę własnej wyobraźni. To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.