Napisałem skrypt logowania i chciałbym abyście powiedzieli czy jest on bezpieczny.
Składa się z 3 plików: index.php, dane.php, sprawdz.php
Teraz przedstawie wam listingi tych trzech plików!
index.php:
[php:1:a8e114fbdc]
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-2">
<form method=post action=sprawdz.php>
Podaj ID:
<input type=text name=id size=5>
<br>
Podaj login:
<input type=text name=login size=25>
<br>
Podaj hasło:
<input type=password name=haslo size=25>
<br>
<br>
<input type=submit value=Zaloguj></form>
[/php:1:a8e114fbdc]
dane.php
[php:1:a8e114fbdc]
<?php
$id0 = '';
$id1 = '1';
$id2 = '2';
$nick[$id0] = '';
$nick[$id1] = 'test';
$nick[$id2] = 'gall';
$pass[$id0] = 'haslo_zabezpieczajace_przed_pustym_formularzem';
$pass[$id1] = 'test1';
$pass[$id2] = 'anonim';
?>
[/php:1:a8e114fbdc]
sprawdz.php
[php:1:a8e114fbdc]<?php
include("dane.php");
if($login == $nick[$id] && $haslo == $pass[$id]){
echo "Podałeś prawidłowe hasło witamy!";
}
else{
echo "Złe dane!";
}
?>[/php:1:a8e114fbdc]
Przeanalizujcie ten kod i powiedzcie czy jest poprawny.
Czekam na wszelkie opinie!
Pełna wersja: Mój skrypt logowania.
Cytat
Napisałem skrypt logowania i chciałbym abyście powiedzieli czy jest on bezpieczny.
Przeanalizujcie ten kod i powiedzcie czy jest poprawny.
Czekam na wszelkie opinie!
Przeanalizujcie ten kod i powiedzcie czy jest poprawny.
Czekam na wszelkie opinie!
w sprawdz.php zamiast
$login uzyj $_POST['login']
$id uzyj $_POST['id']
$haslo uzyj $_POST['haslo']
dodatkowo dolozylbym haszowanie (md5) skladowanych hasel
pomyslalbym tez nad innym sposobem zapisywania hasel, gdyz ten stanie sie topornie ciezki w aktualizowaniu przy wiekszej ilosci pozycji
ps. a po co Ci to id ?
no i moze jeszcze addslashes()
no to moze dodać jeszcze kodowanie hasełko w js przed wysłąniem 
Cytat
no to moze dodać jeszcze kodowanie hasełko w js przed wysłąniem :)
wystarczy SSL
zalezy czy ma obsluge ssl 
a java script jest prawie wszedzie 
a java script jest prawie wszedzie
Cytat
zalezy czy ma obsluge ssl :P a java script jest prawie wszedzie :D
jak komus zalezy na bezpieczenstwie to SSL nie jest dla niego problemem, js (szczegolnie mocno rozbudowana jest jeszcze mimo wszystko problemem)
a czy na pewno przy kodowaniu za pomoca js nie da sie tego wczesniej przechwycic?? obawiam sie, ze da sie (ale gowy nie dam).
wszystko da sie przechwycić i łatwo zrobisz odkodowywanie jesli zajrzysz w źrdło strony, ale codzi o to zeby tylko utrudić zycie
i to miał być w sumie żarcik z tym JS ale widze ze wszystkim to sie spodobało
i to miał być w sumie żarcik z tym JS ale widze ze wszystkim to sie spodobało
Cytat
wszystko da sie przechwycić i łatwo zrobisz odkodowywanie jesli zajrzysz w źrdło strony, ale codzi o to zeby tylko utrudić zycie :)
i to miał być w sumie żarcik z tym JS ale widze ze wszystkim to sie spodobało :D
i to miał być w sumie żarcik z tym JS ale widze ze wszystkim to sie spodobało :D
mowa byla o kodowaniu hasla o ile dobrze pamietam. o ile mi wiadomo mozna napisac wlasna implementacje md5 w javascript.
wiec jesli myslisz ze znajomosc algorytmu kodujacego md5 pozwoli ci rozkodowac zakodowany tekst to sie mylisz :D
ps. reasumujac mozna by uzyc (jesli nie mamy dostepu do ssl) kodowania hasla w md5 po stronie klienta.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.