Witam,

czy taki skrypt jest bezpieczny ? Czy można go łatwo złamać przez wykrozystanie jakiego¶ myku ?

login.php
[PHP] pobierz, plaintext 
  1. <?
  2. session_start(); 
  3. session_name(admin_login); 
  4. function logowanie() 
  5. { 
  6.   echo(&#092;"<form method=\"POST\">n 
  7.    <h1> Zaloguj sie! </h1><br>
  8.    User: <input type=&#092;"text\" name=\"login\"><br>n 
  9.    Pass: <input type=&#092;"password\" name=\"haslo\"><br>n 
  10.    <input type=&#092;"submit\" name=\"submit\" value=\"Zaloguj\"><br>n 
  11.    <br> 
  12.   </form>n&#092;"); 
  13. } 
  14.  
  15.  
  16.  
  17. if(!isset($submit)) 
  18. { 
  19.    logowanie(); 
  20. } 
  21. else 
  22. { 
  23.    $db=mysql_connect('') or die(&#092;"Nie można się połączyć z serwerem\"); 
  24. 	   mysql_select_db('') or die(&#092;"Problem z łączeniem się z bazą danych :(\");
  25.   $sql=&#092;"SELECT * FROM administratorzy WHERE admin = '$login'\";  
  26.   $result=mysql_query($sql); 
  27.   while($row = mysql_fetch_array($result)) 
  28.   { 
  29.    $user_pass=$row[&#092;"user_pass\"]; 
  30.    $user_name=$row[&#092;"user_name\"];  $zmienna_używana_w_skrypcie=$komórka[\"nazwa_komórki_ze_sql\"]; 
  31.    $ban=$row[&#092;"ban\"]; 
  32.    if (($haslo != md5($user_pass)) || ($login != $user_name)) # jeżeli hasło / login się nie zgadzają 
  33. 	   { 
  34. 		 echo(&#092;"Zly login/pass\"); # pokazuje \"Zly login/pass\" oraz logowanie (z wczesniej zadeklarowanej funkcji:) 
  35. 		 logowanie(); 
  36. 		 } else { # w innym przypadku (tj. login i pass są prawdziwe) 
  37. 		session_register(&#092;"login\"); # rejestrowanie w sesji \"loginu\", \"ban\" (czy gostek ma bana czy nie tongue.gif\" 
  38. 		session_register(&#092;"ban\"); 
  39. 		if ($ban == 1) # jeżeli user ma bana to .... 
  40. { 
  41.   echo(&#092;"Masz bana. <br> <pre> Error 403 <br> Brak dostępu do zasobów </pre>\"); 
  42. } else { # jeżeli nie ma bana to pokazuje mu się index.php 
  43. header(&#092;"Location: zarzadzanie_admin.php?\" . SID); # SID = Session ID (takie cosik w adresie tongue.gif 
  44. echo(&#092;"Jeżeli Ci się nie wyświetliła strona kliknij <a href=\"zarzadzanie_admin.php\">tutaj</a>\"); 
  45. } 
  46. 		exit(); # koniec :) 
  47. 			 } 
  48. 		 } 
  49. 	} 
  50. ?>
[PHP] pobierz, plaintext


header innych plików:
[PHP] pobierz, plaintext 
  1. <? 
  2. session_start(); 
  3. session_name(admin_login); 
  4. if (!isset($_SESSION[&#092;"login\"]))
  5. { 
  6. header(&#092;"Location: login.php\"); 
  7. exit(); 
  8. if ($_SESSION[&#092;"ban\"] == 1) 
  9. 	{ 
  10. 	 echo(&#092;"Masz bana. <br> <pre> Error 403 <br> Brak dostępu do zasobów </pre>\"); 
  11. 	exit(); 
  12. 	} }
  13. ?>
[PHP] pobierz, plaintext


Co o tyym s±dzicie ? Od razu zaznaczam że skrypt ten nie jest mój.