Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: [php] Token i bezpieczeństwo.
Forum PHP.pl > Forum > PHP
puz219
16.02.2009, 13:47:57
Witam.

Napisałem sobie skrypt tokena, tylko nie wiem, czy moje rozwiązanie jest bezpieczne oraz jak trudne będzie odczytanie takiego tokena przez bota.

Skrypt składa się z 3 plików:

funkcje.php
[PHP] pobierz, plaintext 
  1. <?php
  2. function FormRejestracja($tokencode, $komentarz="") {
  3.      $_SESSION["token"] = $tokencode;
  4.      ?>
  5.          <form method="POST" name="rejestracja" action="formularz.php">
  6.              <? echo $komentarz; ?>
  7.              <fieldset>
  8.                  <legend>Login</legend>
  9.                  <input type="text" id="login" name="login">
  10.     
  11.              </fieldset>
  12.              <fieldset>
  13.                  <legend>Hasło</legend>
  14.                  <input type="password" id="pass" name="pass">
  15.              </fieldset>
  16.              <fieldset>
  17.                  <legend>Powtórz hasło</legend>
  18.                  <input type="password" id="pass" name="pass2">
  19.              </fieldset>
  20.              <fieldset>
  21.                  <legend>E-mail</legend>
  22.                  <input type="text" id="email" name="email">
  23.              </fieldset>
  24.              <fieldset>
  25.                  <legend>Token</legend>
  26.                  <? //include_once("user_token.php");                 
  27.                  echo '<img src="token_pic.php">';?>
  28.                  <input type="text" id="token" name="token">
  29.              </fieldset>
  30.              <input type="hidden" name="los" value="<? echo $chars; ?>">
  31.              <p><input type="submit" id="sudmit" name="send_reg" value="Rejestruj"></p>
  32.          </form>
  33.      <?}
  34.  
  35. function createToken() {
  36. $char = array(1,2,3,4,5,6,7,8,9,'q','w','e','r','t','y','u','i',
  37. 'o','p','l','k','j','h','g','f','d','s','a','z','x','c','v','b','n','m','Q'
  38. ,'W','E','R','T','Y','U','I','O','P','L','K','J','H','G','F','D','S',
  39. 'A','Z','X','C','V','B','N','M');
  40.      $text = "";
  41.      for($i = 0; $i < 7; $i++)
  42.      {
  43.          $text .= $char[array_rand($char)];
  44.      }
  45.  
  46. return $text;
  47. }
[PHP] pobierz, plaintext



formularz.php
[PHP] pobierz, plaintext 
  1. <?php
  2. session_start();
  3. include_once(funkcje.php);
  4.  
  5. $token = createToken();
  6.  
  7. if(isset($_POST["send_reg"]))
  8.      {
  9.         if($_POST['token'] == $_SESSION['token'])
  10.         {
  11.            $_SESSION["kom_r"] = "Token poprawny";
  12.            
  13.            echo $_SESSION["kom_r"];
  14.         }
  15.         else
  16.         {
  17.            FormRejestracja($token, "Token niepoprawny");
  18.         }
  19.      }else { 
  20.      
  21.      FormRejestracja($token); }
  22. ?>
[PHP] pobierz, plaintext


token_pic.php
[PHP] pobierz, plaintext 
  1. <?php
  2. session_start();
  3. header ('Content-type: image/gif');
  4.  
  5. $text = $_SESSION["token"];
  6.  
  7. /* generowanie tokena za pomocą biblioteki GD */
  8. /* jeżeli ktoś chce kod, to proszę pisać, a tutaj nie wklejam, 
  9. bo jest dość długi, a i tak nic nie wnosi do kwestii bezpieczeństwa (no chyba, że się mylę) */
  10.  
  11. imagegif($image);
  12. imagedestroy ($Image);
  13. ?>
[PHP] pobierz, plaintext


Prosiłbym o sprawdzenie napisanych skryptów pod katem bezpieczeństwa oraz opinię, czy takie "coś" będzie trudne do złamania dla bota?

Pozdrawiam
ddiceman
16.02.2009, 14:17:00
To bedzie banalnie latwe do zlamania przez bota. Dlaczego? Bo jezeli bot nie przechowuje ciasteczek (w tym SESSION_ID) to znaczy, ze nie nie beda dla niego dostepne zmienne sesyjne. W zwiazku z czym wystarczy, ze przesle puste $_POST['token'], to wtedy porownane do pustego (bo nie zainicjowanego) $_SESSION['token'] da zawsze true.
Zrob chociaz
[PHP] pobierz, plaintext 
  1. <?php
  2. if(!empty($_SESSION['token']) && $_POST['token'] === $_SESSION['token'])
  3. ?>
[PHP] pobierz, plaintext
puz219
16.02.2009, 14:38:25
Czyli sprawdzenie czy zmienna sesyjna $_SESSION['token'] nie jest pusta to jedyna rzecz, którą mogę zrobić, żeby zabezpieczyć ten formularz czy może nie. Przepraszam za takie może trochę idiotyczne pytanie, ale w jaki sposób maksymalnie zabezpieczyć tego tokena.

Może mój sposób rozumowania jest błędny i token powinien być zrobiony całkowicie w inny sposób, bo jak widać kiepsko u mnie z kwestiami bezpieczeństwa biggrin.gif, a tego tokena chciałbym maksymalnie zabezpieczyć, co jest chyba zrozumiałe.

Pozdrawiam
ddiceman
16.02.2009, 14:46:26
Zakladajac, ze nikt Ci sie nie wlamie na serwer, nie masz nigdzie var_dump($_SESSION); i nie zakladasz, ze bot odczyta kod z obrazka (co nie jest specjalnie trudne, jesli ktos sie uprze), to na tym poziomie - tak, jest to wystarczajace
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.