Witam!
Mam prośbę o sprawdzenie bezpieczeństwa skryptu logowania z różnymi uprawnieniami, wszelkie uwagi sugestie mile widziane. Dodatkowo prosiłbym o jakiś pomysł na zabezpieczenie pliku baza.php
Login w przykładzie asd@asd.pl hasło admin.

Pliki do pobrania z http://vlaho.pl/test.7z

plik: logowanie.php

[PHP] pobierz, plaintext 
<?php
session_start();
include ("baza.php");
 
$akcja = $_REQUEST['akcja'];
 
 
switch($akcja) {
 
 
 
 
// --------------------------------default------------------------------------  
 
        default:
if (isset($_SESSION['prawa']) and isset($_SESSION['login']) and isset($_SESSION['password'])){
 
echo "<br /><center>Jestes zalogowany jako: <br /> <a href=logowanie.php?akcja=przerzut target='_parent'>".$_SESSION['login']."</a><br /><a href=logowanie.php?akcja=przerzut&login=logout target='_parent'>Wyloguj</a></center>";
}else{
 
echo'<form action="logowanie.php?akcja=logowanie" target="_parent" method="post">
	<table width="25%" border="0" align="center">
	<tr>
		<td><div class="text2">Login:</div></td>
		<td><input type="text" name="login" size="15" /></td>
	</tr>
	<tr>
		<td><div class="text2">Haslo:</div></td>
		<td><input type="password" name="password" size="15"/></td>
	</tr>
	<tr>
		<td></td>
		<td><input type="submit" name="submit" value="Zaloguj" /></td>
	</tr>
	</table>
	</form>';
}
 
 
        break;
 
//---------------------SPRAWDZENIE JAKIE MASZ PRAWA----------------------------
           case "przerzut":
 
if($_GET['login']<>"logout"){
 
if (isset($_SESSION['login']) and isset($_SESSION['password']) and isset($_SESSION['losowy_kod'])){
 
$login=$_SESSION['login'];
$pass=$_SESSION['password'];
 
$wyk = mysql_query('SELECT login, password, prawa, stan FROM '.$prefiks.'admins WHERE email=\''.$login.'\' AND password=\''.$pass.'\'');
$ile = mysql_num_rows($wyk);
if ($ile>0){
    $w = mysql_fetch_array($wyk);	
    $prawa=$w['prawa'];
    $stan=$w['stan'];
    if ($stan==0){
       if ($prawa==1){
	       //header("Location: logowanie.php?akcja=panel_a");
           echo "panel administratora";
        }
        if ($prawa==2){
	      // header("Location: logowanie.php?akcja=panel_u");
          echo "panel uzytkownika";
        }
    }else{
        header("Location: index.php");
    }
 
}else{
    session_destroy();
    header("Location: index.php");  
}
}else{
//	cosik();
    session_destroy();
    header("Location: index.php"); 
}
}else{
  session_destroy();
    header("Location: index.php");    
}
 
 
  break;   
 
// --------------------------------LOGOWANIE------------------------------------        
 
case "logowanie":
//session_start();
 
 
include_once('baza.php');
 
if ( $_POST['login'] && $_POST['password'] ){
    $login=mysql_escape_string(strip_tags($_POST['login']));
	$pass=mysql_escape_string(strip_tags($_POST['password']));
 
$wyk = mysql_query('SELECT * FROM '.$prefiks.'admins WHERE email=\''.$login.'\'');
$ile = mysql_num_rows($wyk);
if ($ile>0){
 
$wyk = mysql_query('SELECT * FROM '.$prefiks.'admins WHERE email=\''.$login.'\' AND password=\''.md5($pass).'\'');
$ile = mysql_num_rows($wyk);
if ($ile>0){
    $w = mysql_fetch_array($wyk);	
    $prawa=$w['prawa'];
    $stan=$w['stan'];
    $ost_log=$w['ost_log_tmp'];
    $id_uzyt=$w['id'];
    if ($stan==0){
  		$_SESSION['login'] = $_POST['login'];
		$_SESSION['password'] = md5($_POST['password']);
		$_SESSION['prawa']= $prawa;
		$_SESSION['losowy_kod']='k3Dc6a^s';
        $ost_log_tmp=date("Y-m-d G:i:s",time());
        $_SESSION['ost_log']=$ost_log;
        mysql_query("UPDATE ".$prefiks."admins SET ost_log = '$ost_log', ost_log_tmp='$ost_log_tmp' WHERE id ='$id_uzyt';");
        if($prawa==1 or $prawa==2){
            if ($prawa==1){
	          // header("Location: logowanie.php?akcja=panel_a");
              echo "panel administratora";
            }
            if ($prawa==2){
	          // header("Location: logowanie.php?akcja=panel_u");
               echo "panel uzytkownika";
            }
 
        }else{
            echo"nie posiada odpowiednich uprawnien";
        }
 
    }else{
        echo"uzytkownik został zablokwany";
    }
}else{
    echo"Nie prawidłowy login lub hasło";
}
}else{
     echo"Uzytkownik nie istnieje";
}
}else{
    echo"Uzupelnij pola formularza";
}
 
        break;
 
 
// -------------------------ŁADOWANIE PANELU ADMINISTRATORA----------------------      
    case "panel_a":
 
if (isset($_SESSION['login']) and isset($_SESSION['password']) and isset($_SESSION['losowy_kod'])){
 
$login=$_SESSION['login'];
$pass=$_SESSION['password'];
 
$wyk = mysql_query('SELECT login, password, prawa, stan FROM '.$prefiks.'admins WHERE email=\''.$login.'\' AND password=\''.$pass.'\'');
$ile = mysql_num_rows($wyk);
if ($ile>0){
    $w = mysql_fetch_array($wyk);	
    $prawa=$w['prawa'];
    $stan=$w['stan'];
    if ($stan==0){
       if ($prawa==1){
	       echo "panel administratora";
        }
    }else{
        session_destroy();
        header("Location: index.php");
    }
 
}else{
    session_destroy();
    header("Location: index.php");  
}
 
//	cosik();
    session_destroy();
    header("Location: index.php"); 
}
 
 
    break; 
 
 
}?>
[PHP] pobierz, plaintext 

plik: baza.php

[PHP] pobierz, plaintext 
<?
$host = "localhost"; 
$user = "root"; 
$pass = ""; 
$base = "test";
$prefiks="sb_";
$link_mysql=mysql_connect($host, $user, $pass) or die('Nie można nawišzać połšczenia z MySQL-em');
mysql_selectdb($base) or die ('Nie można nawišzać połšczenia z bazš danych');
 
?>
[PHP] pobierz, plaintext 

[SQL] pobierz, plaintext 
CREATE TABLE IF NOT EXISTS `sb_admins` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `date` datetime NOT NULL DEFAULT '0000-00-00 00:00:00',
  `login` varchar(255) CHARACTER SET utf8 COLLATE utf8_polish_ci NOT NULL,
  `password` varchar(32) CHARACTER SET utf8 COLLATE utf8_polish_ci NOT NULL DEFAULT '',
  `imie` varchar(15) CHARACTER SET utf8 COLLATE utf8_polish_ci NOT NULL,
  `nazwisko` varchar(20) CHARACTER SET utf8 COLLATE utf8_polish_ci NOT NULL,
  `kod` varchar(6) CHARACTER SET utf8 COLLATE utf8_polish_ci NOT NULL,
  `email` varchar(255) CHARACTER SET utf8 COLLATE utf8_polish_ci NOT NULL DEFAULT '',
  `prawa` int(1) NOT NULL DEFAULT '0',
  `urodz` date NOT NULL,
  `stan` int(1) NOT NULL,
  `ost_log` datetime NOT NULL,
  `ost_log_tmp` datetime NOT NULL,
  `reg` int(1) NOT NULL,
  PRIMARY KEY (`id`)
) ENGINE=MyISAM  DEFAULT CHARSET=utf8 AUTO_INCREMENT=49 ;
 
 
INSERT INTO `sb_admins` (`id`, `date`, `login`, `password`, `imie`, `nazwisko`, `kod`, `email`, `prawa`, `urodz`, `stan`, `ost_log`, `ost_log_tmp`, `reg`) VALUES
(1, '2006-11-20 00:18:36', 'asd@asd.pl', '21232f297a57a5a743894a0e4a801fc3', 'Jan', 'Kowalski', '', 'asd@asd.pl', 2, '1980-01-01', 0, '2012-02-28 18:18:25', '2012-02-28 19:11:03', 0);
[SQL] pobierz, plaintext 

zamiast mysql_escape_string skorzystaj mysql_real_escape_string
załóż klucze w tabeli SQL na login i passwd

chodzi o Primary Key?

lepiej INDEX
po za tym klucze na polach VARCHAR to zło ,dlatego stosuje się konwersje string => int aby przyspieszyć wyszukiwanie po indwidualnych stringach w tabeli ,
swoją drogą ,patrząc na ten kod można go bardziej uprościć ,po co 2 razy sprawdzać mail w tabeli admins ? jak można raz ,razem z hasłem

no dobra dzięki, już prowadzam zmiany! A może jakieś inne uwagi na temat samego bezpieczeństwa

Na pewno nie jest bezpieczne przechowywać hasła i kody w sesjach.Ja bym radził zapisywać id w sesji i odwoływać się po nim do pola z hasłem lub aktualnym kodem w twojej bazie danych.

Rozumiem że id użytkownika? Dzięki za uwagę. Myślałem że skoro hasło jest w md5 to jest w miarę bezpieczne, oczywiście jeśli mowa o normalnych hasłach a nie jakiś banalnych.

W md5 bezpieczne??Raczej nie powiedziałbym.Ja bym raczej użył sha1+sol lub sha2.Jak już powiedziałem nie należy przechowywać ważnych danych w sesjach,co najwyżej id lub ewentualnie login usera.

ok, dzięki za informacje. Popołudniu naniosę poprawki.

Odnośnie bezpieczeńśtwa ,a gdzie masz walidacje pól formularza? Zabezpiecz zapytania SQL przed sql injection.Przydało by się jakąś recaptche zaimplikować na formularze rejestracji jak to ma być super bezpieczne.Nie chciałbyś aby jakiś bot napierniczał ci śmiecie do bazy danych.Troszeczkę roboty jeszcze Ciebie czeka.

Mam walidacje loginu czyli e-maila zrobiona w jQuery plugin Validation oraz antyspam za pomocą SBLAM.

mam coś takiego dodane po uwagach gothye
$login=mysql_real_escape_string(strip_tags($_POST['login']));
$pass=mysql_real_escape_string(strip_tags($_POST['password']));
Muszę jeszcze w paru miejscach zmamienić $_POST['login'] na $login po filtracji

A jaki sposób można się jeszcze zabezpieczyć przed sql injection?

Czyli masz walidacje po stronie klienta , a gdzie walidacja po stronie serwera.Ta walidacja będzie pięknie ładnie działać z włączoną obsługą js ,a co jeśli ktoś to wyłączy w opcjach swojej przeglądarki-wtedy będzie sobie mógł wpisać w pola formularza wszystko co będzie chciał włącznie z metodami ataku xss.Zrób walidacje także po stronie serwera używając wyrażeń regularnych.

Dzięki za odpowiedzi i podpowiedzi. Mam jeszcze jedno pytanie. W jaki sposób najlepiej przechowywać dane do logowanie do bazy danych? np plik baza.php w którym mam zapisany login,hasło, nazwę bazy i konektor(mysql_connect) zabezpieczony sposobem z atrykułu