Witam, proszę o informację na temat zabezpieczenia strony logowania. Otóż mam stronę logowania, na tórej sprawdzam czy ciągi login i hasło wpisywane przez użytkownika są literami i cyframi, czy mają odpowiednnią długość (10 i 15 znaków). Pole hasła jest osobno szyfrowane 256bitowym kluczem. Przy sprawdzaniu w bazie czy login i hasło istnieje korzystam z '".htmlspecialchars($_POST["login"])."' który zgodnie z opisem usuwaja niebezpieczne znaki wprowadzane przez użytkownika typu \ / Znalazłem też informację że przy zabezpieczeniu strony należy również używać funkcji strip_tags, addslashes() i stripslashes() do odczytu czystego tekstu bez /. Czy funkcja htmlspecialchars nie spełnia tych funkcji? Co sądzicie o zabezpieczeniu logowania do katalogu udostępnianego przez przeglądarki (chodzi o autoryzację która wyświetla okno z przeglądarki z prośbą o podanie loginu i hasła coś jak logowanie do serwerów) - dzięki niemu mamy podobno pewność że łączymy się z odpowiednią bazą użytkownikiem który ma odpowiednie prawa? Co o tym sądzicie?

Jeśli oczekujesz audytu pokaż kod bądź daj linka do aplikacji.
Pisząc używam tego i tego nic nie przekazujesz bo najważniejsze jest właściwe użycie.

cóż ja mogę ci polecić stronkę naszego bledzia. Tam znajdziesz info na temat różnego typu zabezpieczeń. Poza tym pokaż kod...

Oto kod:

[PHP] pobierz, plaintext 
<?php
 
 
ob_start();
session_start();
 
if(empty($_SESSION["zalogowany"]))$_SESSION["zalogowany"]=0;
 
include 'conf.php';
 
function ShowLogin($komunikat=""){
 echo "$komunikat<br>";
 echo "<Table border = 0 rules=void align=center cellpadding=5 bgcolor=#96d2f2>";
 echo "<form action='index.php' method=post>";
 echo "<td colspan=3 bgcolor=#ececec align=center><img src=/baza/logo.png alt=logo></td></tr>";
 echo "<td colspan=3 bgcolor=#96d2f2 align=center><strong>Panel logowania</strong> </td></tr>";
 echo "<tr><td width=\"40%\" style=\"text-align: right\"><b>Login: </b></td><td><input type=text name=login></td></tr><br>";
 echo "<tr><td width=\"40%\" style=\"text-align: right\"><b>Hasło: </b></td><td><input type=password name=haslo></td></tr><br>";
 echo "<tr><td colspan=2 align=center><input type=submit value='Zaloguj!'></td></tr>";
 echo "</form>";
 echo "</Table>";
 
}
$login = $_POST['login'];
$pass = $_POST['haslo'];
//print $nazwa;
$zakod = md5($pass);
 
$login = strip_tags($_POST[login]);
if(strlen($login) < 10){
$login = addslashes($login);
//POLECENIA ZAPISUJĄCE ZMIENNĄ $komentarz W BAZIE!
}else{
echo 'Twój login jest za długi!';
}
 
$pass = strip_tags($_POST[pass]);
if(strlen($pass) < 10){
$pass = addslashes($pass);
//POLECENIA ZAPISUJĄCE ZMIENNĄ $komentarz W BAZIE!
}else{
echo 'Twóje hasło jest za długie!';
}
 
?>
 
<html>
<meta http-equiv="content-type" content="text/html; charset=utf-8">
<head>
 <title>Strona logowania</title>
</head>
<body bgcolor="#ececec">
 
<table>
<tr>
<?php
if($_GET["wyloguj"]=="tak"){$_SESSION["zalogowany"]=0;echo "<meta http-equiv=\"refresh\" content=\"0;URL=index.php\">";}
if($_SESSION["zalogowany"]!=1){
 if(!empty($_POST["login"]) && !empty($_POST["haslo"])){
     if(mysql_num_rows(mysql_query("select * from user where login = '".htmlspecialchars($_POST["login"])."' AND pass = '$zakod'"))){
         echo "<meta http-equiv=\"refresh\" content=\"0;URL=menu.php\">";
         $_SESSION["zalogowany"]=1;
         }
     else echo ShowLogin("Podano złe dane!!!");
     }
 else ShowLogin();
}
else{
 
 
}
?>
</tr>
</table>
</body>
</html>
<?php mysql_close();
ob_end_flush();?>
[PHP] pobierz, plaintext 

I jeszcze jedno pytanie, czy można jakoś ukryć plik index.php w action? Tak żeby po wyświetleniu źródła strony nie było go widać?

Sprawdzanie długości loginu czy hasła nie ma nic wspólnego z bezpieczeństwem.
Czyszczenie z tagów w tym wypadku też niczego Ci nie daje. Używaj tego gdy podane przez użytkownika dane chce potem gdzieś wyświetlić (poczytaj o XSS).
Jedyną sensowną rzeczą jaką robisz jest addslashes ale tak naprawę nie wiele Ci to daje (patrz SQL injection).
Kolejną sprawą jest to, że używasz natywnych funkcji do łączenia się z bazą danych (sprawdź PDO).

Zapytanie do bazy danych powinno wyglądać tak:

[PHP] pobierz, plaintext 
<?php
$query = "select pass from user where login = $login";
?>
[PHP] pobierz, plaintext 

i dopiero potem sprawdzasz czy pass równy jest hashowi usykanemu z hasła w POST'cie (poczytaj o http://en.wikipedia.org/wiki/Password_salting ).

Jeśli chcesz mieć naprawdę bezpieczną stronę musisz również sprawdzić czy sesja tak naprawdę należy do Twojego użytkownika (Session Hijacking).

Notes:
http://www.sitepoint.com/blogs/2004/03/03/...ssion-security/
http://phpsec.org/projects/guide/4.html

Nie przestrasz się - należy dobierać środki do celu - jeśli skrypt zabezpieczenia kolekcji prywatnych lolcatów z pewnością wystarczy. Jeśli ma bronic systemu bankowego, sklepu - czeka Cię jeszcze długa droga. Powodzenia.

Ps. Na wortalu jest pare artów na ten temat.

to ma sens?

[PHP] pobierz, plaintext 
<?php
$login = $_POST['login'];
$pass = $_POST['haslo'];
//print $nazwa;
$zakod = md5($pass);
 
$login = strip_tags($_POST[login]);
 
//....
 
if(!empty($_POST["login"]) && !empty($_POST["haslo"])){
     if(mysql_num_rows(mysql_query("select * from user where login = '".htmlspecialchars($_POST["login"])."' AND pass = '$zakod'"))){
?>
[PHP] pobierz, plaintext 

chyba nie....

http://pl.php.net/manual/pl/function.mysql...cape-string.php

zajrzyj tutaj