Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: Logowanie PHP PDO
Forum PHP.pl > Forum > PHP
seba199696
14.11.2011, 20:59:55
Cześć wszystkim smile.gif

Napisałem logowanie do serwisu i wszystko działa poprawnie lecz proszę o wasze sugestię na temat bezpieczeństwa skryptu. Proszę o wyrozumiałość smile.gif Pozdrawiam!

Daję kod: 

[PHP] pobierz, plaintext 
  1. <?php
  2. session_start();
  3. ?>
  4. <meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
  5.  
  6. 	<form method="post" action="login.php">
  7. 		 <input type="text" name="email"/>
  8.    		 <input type="password" name="password"/>
  9.    		 <input type="submit" name="submit"/>
  10. 	</form>
  11. <?php
  12.  try
  13.    {
  14. 	  //conect
  15.       $pdo = new PDO('mysql:host=localhost;dbname=user', 'user', '***');
  16.       $pdo -> setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
  17.  
  18.   if(isset($_POST['submit'])) {
  19.  
  20. 	if(filter_var($_POST['email'], FILTER_VALIDATE_EMAIL))
  21. 	{
  22.  
  23.     $password = sha1($_POST['password'].'sad8%$9sdk');
  24.  
  25. 	$stmt = $pdo -> prepare('SELECT `email`, `password`,`id` FROM `users` WHERE `email` = :email AND `password` = :password'); 
  26.  
  27.                         $stmt -> bindValue(':email', $_POST['email'], PDO::PARAM_STR);
  28. 			$stmt -> bindValue(':password', $password, PDO::PARAM_STR);
  29.                         $stmt -> execute(); 
  30.  
  31. 						$count = $stmt ->rowCount();
  32.  
  33. 						if($count > 0) {
  34.  
  35. 							 while($row = $stmt -> fetch())
  36.       						{
  37. 								 session_regenerate_id (true);
  38.  
  39. 								 $_SESSION['status'] = true;
  40.           						         $_SESSION['id'] = $row['id'];
  41. 								 $_SESSION['HTTP_USER_AGENT'] = sha1($_SERVER['HTTP_USER_AGENT'].'dsd#$%^');
  42.  
  43. 								 header('Location: home.php');
  44.       						}
  45.  
  46. 						} else {
  47.  
  48. 						echo "Logowanie zakończone niepowodzeniem!";
  49.  
  50. 						}
  51.  
  52. 	} else {
  53.  
  54. 	echo 'Adres e-mail niepoprawny';
  55.  
  56. 	}
  57.  
  58.  }
  59.   }
  60.    catch(PDOException $e)
  61.    {
  62.       echo 'Error: ' . $e->getMessage();
  63.    }
  64. ?>
[PHP] pobierz, plaintext
darko
15.11.2011, 00:22:30
Sprawdzaj jeszcze długość podanych danych i będzie mniej więcej ok.
IceManSpy
15.11.2011, 01:01:45
A nie lepiej zrobić połączenie dopiero po if(isset) ?
zegarek84
15.11.2011, 01:14:13
Cytat(IceManSpy @ 15.11.2011, 01:01:45 ) *
A nie lepiej zrobić połączenie dopiero po if(isset) ?

jeśli chodzi o optymalizację to tak - ale na początek nie ma co przesadzać ;]
cycofiasz
15.11.2011, 13:40:25
Tylko co tam na początku robi ten HTML? Przecież poniżej wysyłasz nagłówki.
seba199696
15.11.2011, 19:34:05
Chcę umieścić sprawdzenie poprawności hasła smile.gif

- jedną małą literę
- jedną dużą literę
- jedną cyfrę
- jeden znak specjalny
- min 8 znaków
- max 30 znaków

Podaję kod: 

[PHP] pobierz, plaintext 
  1. <?php
  2.  
  3. $pass = "Password!1";
  4.  
  5. if (preg_match("/^(?=.*[A-Z])(?=.*[a-z])(?=.*[0-9])(?=.*[!@#$%^&*()_+|-]).{8,30}$/",$pass)) {
  6.  
  7. 	//true
  8.  
  9. 	} 
  10.  
  11. ?>
[PHP] pobierz, plaintext


Co o tym myślicie?
abort
15.11.2011, 20:48:10
IMO Wygląda nieźle.
zegarek84
16.11.2011, 00:44:35
jako, że rozumiem wyrażenia regularne, to mogę ze spokojnym sumieniem napisać, iż znaków można wprowadzić grubo więcej niż 30 a i poprawne hasło z założenia będzie błędne - przykład:
!0aAAAAA
z kolei błędne hasło które na bank przejdzie:
...............A...............a...............0...............!...............
na wyrażeniu całości tak nie zrobisz , i choć całe wyrażenie nie jest najlepsze to koniec choćby nawet znaczy .{8,30} - minimum 8 max 30 dowolnych znaków, z kolei ".*" znaczy to samo co 0 i więcej dowolnego znaku...

ps. nie wierzę, że hasło w podanym kodzie pasuje do wzorca ;D - gdyż nie może
______________________

edit
mój błąd
seba199696
16.11.2011, 08:18:30
Napisałeś że haslo ...............A...............a...............0...............!............... przejdzie a to nie prawda pokazuje false
abort
16.11.2011, 10:57:30
Cytat(zegarek84 @ 16.11.2011, 00:44:35 ) *
ps. nie wierzę, że hasło w podanym kodzie pasuje do wzorca ;D - gdyż nie może


A jednak pasuje. Wystarczy wrzucić regexpa do pliku php i odpalić go w przeglądarce, co serdecznie polecam.
Pasuje także zmiana kolejności liter, cyfr i znaków specjalnych (czego na pierwszy rzut oka nie widziałem).
zegarek84
16.11.2011, 21:58:33
rzeczywiście mój błąd - aż mi wstyd - nie trzeba wrzucać do pliku, można z linii poleceń sprawdzić...

chyba przegapiłem znak "=" i potraktowałem jako ":", czyli zamiast (?=) myślałem w kategorii (?:)... jest jeszcze jedno przydatne grupowanie (?!) - czyli ma się nie dopasować do tego co w środku...
seba199696
16.11.2011, 22:59:27
Wkleję za niedługo poprawiony skrypt smile.gif

[PHP] pobierz, plaintext 
  1. <?PHP
  2. session_start();
  3. if(isset($_POST['submit'])) {
  4.  
  5. 	if (preg_match("/^(?=.*[A-Z])(?=.*[a-z])(?=.*[0-9])(?=.*[!@#$%^&*()_+|-]).{8,30}$/",$_POST['password'])) {
  6.  
  7. 		if(preg_match('/^[a-zA-Z\.\-\_]+\@[a-zA-Z0-9\.\-\_]+\.[a-z]{2,4}$/D', $_POST['email'])) {
  8.  
  9. 		try
  10.   		 {
  11. 	  	  $pdo = new PDO('mysql:host=localhost;dbname=user', 'user', '***');
  12.      	          $pdo -> setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);	
  13.  
  14. 		  $password = sha1($_POST['password'].'sad8%$9sdk');
  15.  
  16. 		        $stmt = $pdo -> prepare('SELECT `email`, `password`,`id` FROM `users` WHERE `email` = :email AND `password` = :password'); 
  17.  
  18.                         $stmt -> bindValue(':email', $_POST['email'], PDO::PARAM_STR);
  19. 			$stmt -> bindValue(':password', $password, PDO::PARAM_STR);
  20.                         $stmt -> execute(); 
  21.  
  22. 						$count = $stmt ->rowCount();
  23.  
  24. 						if($count > 0) {
  25.  
  26. 							while($row = $stmt -> fetch())
  27.       						{
  28. 								 session_regenerate_id (true);
  29.  
  30. 							        $_SESSION['status'] = true;
  31.           						        $_SESSION['id'] = $row['id'];
  32. 							        $_SESSION['HTTP_USER_AGENT'] = sha1($_SERVER['HTTP_USER_AGENT'].'dsd#$%^');
  33.  
  34. 							      // last active the user ip 
  35. 								$stmt = $pdo -> prepare('UPDATE `users` SET `ip` = :ip WHERE `id` = :id');     
  36.  
  37.                         	                        	$stmt -> bindValue(':ip', $_SERVER['REMOTE_ADDR'], PDO::PARAM_STR);
  38.                         		                        $stmt -> bindValue(':id', $row['id'], PDO::PARAM_STR);
  39.  
  40.                        		                                $stmt -> execute(); 
  41. 							     // 
  42.  
  43. 								 header('Location: index.php');
  44.       						}
  45.  
  46. 						}
  47. 		 }
  48.  
  49. 	 	 catch(PDOException $e)
  50.   		 {
  51.          echo 'Error: ' . $e->getMessage();
  52.   		 }
  53. 			} else { echo "Email error"; }
  54. 				} else { echo "Hasło error"; } 
  55. 					} else { echo "Formularz error"; }
  56.  
  57. ?>
  58.  
[PHP] pobierz, plaintext
Crozin
16.11.2011, 23:10:21
1. Po co w procesie logowania sprawdzasz poprawność formatu emaila / hasła?
2. Po nagłówku Location powinieneś przerwać działanie skryptu i wyświetlić stronę z informacją o wykonaniu przekierowania do innego URL.
3. Zamiast paskudnych, zagnieżdżonych IF-ELSE-ów, możesz napisać:
[PHP] pobierz, plaintext 
  1. if (!...) {
  2.  
  3. }
  4.  
  5. if (!...) {
  6.  
  7. }
  8.  
  9. // tutaj kod, gdy wszystko w porządku
[PHP] pobierz, plaintext


seba199696
17.11.2011, 16:49:41
Poprawiłem to smile.gif

Wydaje mi się że wszystko jest okej smile.gif

[PHP] pobierz, plaintext 
  1. <?php 
  2. session_start();
  3.  
  4. 		$password = $_POST['password'];
  5. 		$email = $_POST['email'];
  6.  
  7.  
  8.  function checkout_password($password)
  9. {
  10.    if(preg_match("/^(?=.*[A-Z])(?=.*[a-z])(?=.*[0-9])(?=.*[!@#$%^&*()_+|-]).{8,30}$/",$password))
  11.       return true;
  12.    else
  13.       return false;
  14. }	
  15.  
  16.  function checkout_email($email)
  17. {
  18.    if(preg_match('/^[a-zA-Z\.\-\_]+\@[a-zA-Z0-9\.\-\_]+\.[a-z]{2,4}$/D', $email))
  19.       return true;
  20.    else
  21.       return false;
  22. }
  23.  
  24.  
  25. if (checkout_email($email) and checkout_password($password) and isset($_POST['submit']))
  26.    {
  27.     	try
  28.   		 {  
  29.  
  30. 	 	   		  $pdo = new PDO('mysql:host=localhost;dbname=user', 'user', 'password');
  31.      	                          $pdo -> setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);	
  32.  
  33. 		 			 $passwordhash = sha1($password.'sad8%$9sdk');
  34.  
  35. 		      		                $stmt = $pdo -> prepare('SELECT `email`, `password`,`id` FROM `users` WHERE `email` = :email AND `password` = :password'); 
  36.                                                 $stmt -> bindValue(':email', $email, PDO::PARAM_STR);
  37. 						$stmt -> bindValue(':password', $passwordhash, PDO::PARAM_STR);
  38.                                                 $stmt -> execute(); 
  39.  
  40. 						$count = $stmt ->rowCount();
  41.  
  42. 						if($count > 0) 
  43. 						{
  44.  
  45. 							while($row = $stmt -> fetch())
  46.       						 {
  47. 								 session_regenerate_id (true);
  48.  
  49. 							        $_SESSION['status'] = true;
  50.           						        $_SESSION['id'] = $row['id'];     
  51. 							        $_SESSION['HTTP_USER_AGENT'] = sha1($_SERVER['HTTP_USER_AGENT'].'dsd#$%^');	    
  52.  
  53.  
  54. 								 header('Location: index.php');
  55. 								 exit;
  56.       						 }
  57.  
  58. 						}	
  59.  
  60. 	 	 }
  61.  
  62. 	 	 catch(PDOException $e)
  63.   		 {
  64.                  echo 'Error: ' . $e->getMessage();
  65.   		 }
  66.  
  67.    } else {
  68.  
  69. 	   header('Location: login.html');
  70. 	   exit;
  71.  
  72.    		  }
  73.  
  74.  
  75.  
  76. ?>
[PHP] pobierz, plaintext
cycofiasz
17.11.2011, 22:12:27
Po co pętla while? Nie sądzę by było więcej userów o tym samym emailu i haśle.
Podczas pisania polecam pracować z wyświetlaniem błędów typu E_NOTICE.
seba199696
17.11.2011, 22:19:56
Czyli zamiast:

[PHP] pobierz, plaintext 
  1. while($row = $stmt -> fetch())
[PHP] pobierz, plaintext

Użyć: 
[PHP] pobierz, plaintext 
  1. $row = $stmt -> fetch();
[PHP] pobierz, plaintext

?
Inscure
18.11.2011, 16:35:14
Tak
celbarowicz
18.11.2011, 18:02:33
Podobno : $stmt -> closeCursor();
http://pl.wikibooks.org/wiki/PHP/Biblioteka_PDO
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.