Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: [PHP][MySQL] - logowanie i mysql_real_escape_string
Forum PHP.pl > Forum > Przedszkole
Mega_88
23.03.2013, 21:22:24
Witam, może mi ktoś pomóc i powiedzieć, która wersja jest poprawna lub, której lepiej użyć żeby zapewnić sobie minimum bezpieczeństwa przy logowaniu ? Zrobiłem dwie wersje, ale jakoś bardziej poprawnie wygląda mi druga wersja. Mogę prosić o jakieś podpowiedzi, sugestie odnośnie kodu ?

[PHP] pobierz, plaintext 
  1. if(isset ($_POST["wyslij"])){
  2.  $user = $_POST['user']; 
  3.  $password = $_POST['password'];
  4.   $logowanie = mysql_query ("select login,haslo from user_cms where login='" . mysql_real_escape_string($user)."' and haslo='" . mysql_real_escape_string($password)."' and status=1");
  5.    if(mysql_num_rows($logowanie)==1) {
  6.     $_SESSION["isLoggedIn"]=1;  
  7.     $_SESSION["login"]=$user;  
  8.   } 	
  9.  } 
[PHP] pobierz, plaintext 



[PHP] pobierz, plaintext 
  1. if(isset ($_POST["wyslij"])){
  2.  $user = mysql_real_escape_string($_POST['user']); 
  3.  $password = mysql_real_escape_string($_POST['password']); 
  4.   $logowanie = mysql_query ("select login,haslo from user_cms where login='$user' and haslo='$password' and status=1");
  5.    if(mysql_num_rows($logowanie)==1) {
  6.     $_SESSION["isLoggedIn"]=1;  
  7.     $_SESSION["login"]=$user;  
  8.   } 	
  9.  }
  10.  
[PHP] pobierz, plaintext
Bateria
23.03.2013, 21:28:05
Wychodzi na to samo.
Ewentualnie do $_POST addslashes, chociaż i tak jest to już zbędne.
[PHP] pobierz, plaintext 
  1. if(isset ($_POST["wyslij"])){
  2.  $user = addslashes($_POST['user']);
  3.  $password = addslashes($_POST['password']);
  4.   $logowanie = mysql_query ("select login,haslo from user_cms where login='" . mysql_real_escape_string($user)."' and haslo='" . mysql_real_escape_string($password)."' and status=1");
  5.    if(mysql_num_rows($logowanie)==1) {
  6.     $_SESSION["isLoggedIn"]=1;  
  7.     $_SESSION["login"]=$user;  
  8.   } 	
  9.  }
[PHP] pobierz, plaintext

Największe bezpieczeństwo gwarantuje Ci jednak użycie biblioteki PDO.
Wazniak96
23.03.2013, 21:30:19
Według mnie nie ma różnicy, oprócz tego, że w drugim kodzie dodatkowo marnujesz czas i ram na przypisywanie danych do zmiennych. To tak jakbyś spytał jaka jest różnica między
[PHP] pobierz, plaintext 
  1. <?php 
  2. $txt = 'Hello World!';
  3. echo $txt;
  4. ?>
[PHP] pobierz, plaintext

a
[PHP] pobierz, plaintext 
  1. <?php
  2. echo 'Hello World!';
  3. ?>
[PHP] pobierz, plaintext
Mega_88
23.03.2013, 21:33:52
Cytat(Bateria @ 23.03.2013, 21:28:05 ) *
Wychodzi na to samo.
Ewentualnie do $_POST addslashes
[PHP] pobierz, plaintext 
  1. if(isset ($_POST["wyslij"])){
  2.  $user = addslashes($_POST['user']);
  3.  $password = addslashes($_POST['password']);
  4.   $logowanie = mysql_query ("select login,haslo from user_cms where login='" . mysql_real_escape_string($user)."' and haslo='" . mysql_real_escape_string($password)."' and status=1");
  5.    if(mysql_num_rows($logowanie)==1) {
  6.     $_SESSION["isLoggedIn"]=1;  
  7.     $_SESSION["login"]=$user;  
  8.   } 	
  9.  }
[PHP] pobierz, plaintext


Myślałem właśnie nad dodaniem jeszcze "addslashes", ale czy to nie jest już tak trochę nawyrost i nie wpłynie to bardziej na bezpieczeństwo ?


Wiem, że PDO byłoby lepsze, ale jednak chciałbym jeszcze przerobić ten temat.
Bateria
23.03.2013, 21:37:14
Nie ma co mieszać funkcji PHP w zapytaniach MySQL, przypisanie ich do zmiennych znacznie zwiększy czytelność kodu.
[PHP] pobierz, plaintext 
  1. if(isset ($_POST["wyslij"])){
  2.  $user = mysql_real_escape_string($_POST['user']); 
  3.  $password = mysql_real_escape_string($_POST['password']); 
  4.   $logowanie = mysql_query ("select login,haslo from user_cms where login='$user' and haslo='$password' and status=1");
  5.    if(mysql_num_rows($logowanie)==1) {
  6.     $_SESSION["isLoggedIn"]=1;  
  7.     $_SESSION["login"]=$user;  
  8.   } 	
  9.  }
[PHP] pobierz, plaintext

or
[PHP] pobierz, plaintext 
  1. if(isset ($_POST["wyslij"])){
  2.  $user = addslashes($_POST['user']); 
  3.  $password = addslashes($_POST['password']); 
  4.   $logowanie = mysql_query ("select login,haslo from user_cms where login='$user' and haslo='$password' and status=1");
  5.    if(mysql_num_rows($logowanie)==1) {
  6.     $_SESSION["isLoggedIn"]=1;  
  7.     $_SESSION["login"]=$user;  
  8.   } 	
  9.  }
[PHP] pobierz, plaintext
Michael2318
23.03.2013, 21:39:15
Kompletny bezsens, przecież to nie ma w ogóle żadnego znaczenia, której metody użyjesz bo obie niczym się nie różnią (z punktu widzenia praktycznego).
Wazniak96
23.03.2013, 21:42:42
Po co addslashes skoro używamy już mysql_real_escape_string ?
Polecam do przeczytania: mysql_real_escape_string vs. addslashes

PDO jest najlepszym rozwiązaniem. Po co tworzyć skrypt na module mysql_* skoro można od razu użyć PDO, przy okazji zaznajomić się z jego użyciem i nie głowić się nad bezpieczeństwem?
Mega_88
23.03.2013, 22:18:31
Cytat(Wazniak96 @ 23.03.2013, 21:42:42 ) *
Po co addslashes skoro używamy już mysql_real_escape_string ?
Polecam do przeczytania: mysql_real_escape_string vs. addslashes

PDO jest najlepszym rozwiązaniem. Po co tworzyć skrypt na module mysql_* skoro można od razu użyć PDO, przy okazji zaznajomić się z jego użyciem i nie głowić się nad bezpieczeństwem?


Też mi się tak wydawało, że dodanie addslashes do escape_string już nie jest potrzebne.

A natomiast jeżeli już użytkownik się zaloguje to przy wysyłaniu czegoś do bazy przez POST używać wtedy addslashes bez escape_string tak żeby można było w tekscie stosować " ' " dobrze myślę ?


Jak pisałem wcześniej zdaję sobie sprawę, że PDO będzie najlepszym wyjściem, ale niestety nie jest to pisanie skryptu od nowa tylko przerabianie, który był stworzony wcześniej, a obecnie nie mam tyle czasu, że przerobić wszystko na PDO.


Więc jak wywnioskowałem z Waszych odpowiedzi mam zostać przy tej wersji:

[PHP] pobierz, plaintext 
  1. if(isset ($_POST["wyslij"])){
  2.  
  3.  $user = mysql_real_escape_string($_POST['user']); 
  4.  
  5.  $password = mysql_real_escape_string($_POST['password']); 
  6.  
  7.   $logowanie = mysql_query ("select login,haslo from user_cms where login='$user' and haslo='$password' and status=1");
  8.  
  9.    if(mysql_num_rows($logowanie)==1) {
  10.  
  11.     $_SESSION["isLoggedIn"]=1;  
  12.  
  13.     $_SESSION["login"]=$user;  
  14.  
  15.   } 	
  16.  
  17.  }
[PHP] pobierz, plaintext
Bateria
23.03.2013, 22:26:36
mysql_real_escape_string do operacjach na bazach danych, addslashes wszystkich innych na stringach.
Wazniak96
23.03.2013, 23:36:15
Spokojnie. Wszystko jest odwracalne przez stripslashes wink.gif
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.