Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: [MySQL][PHP]problem z skryptem logowania
Forum PHP.pl > Forum > Przedszkole
Th0e
2.04.2013, 18:27:49
Witam. Mam problem z skryptem - którego stosowałem od dawna i nigdy nie było problemów.

[PHP] pobierz, plaintext 
  1. <?php ob_start();
  2. include("config.php");
  3.  
  4. $nick = $_POST['nick'];
  5. $haslo = $_POST['haslo'];
  6. $nick = addslashes($nick);
  7. $nick = htmlspecialchars($nick);
  8.  
  9. if ($_GET['nick'] != '') { //jezeli ktos przez adres probuje kombinowac
  10. exit;
  11. }
  12. if ($_GET['haslo'] != '') { //jezeli ktos przez adres probuje kombinowac
  13. exit;
  14. }
  15.  
  16.  
  17.     if (!$nick OR empty($nick)) {
  18.  
  19. echo 'Wypełnij pole z loginem!';
  20.  
  21. exit;
  22. }
  23.     if (!$haslo OR empty($haslo)) {
  24.  
  25. echo 'Wypełnij pole z hasłem!';
  26.  
  27. exit;
  28. }
  29. $istnick = mysql_fetch_array(mysql_query("SELECT COUNT(*) FROM `user` WHERE `nick` = '$nick' AND `haslo` = '$haslo'")); // sprawdzenie czy istnieje uzytkownik o takim nicku i hasle
  30.     if(empty($istnick)) {
  31. echo 'Logowanie nieudane. Sprawdź pisownię nicku oraz hasła.';
  32.     } else {
  33. $_SESSION['nick'] = $nick;
  34.  
  35. header("Location: index.php");
  36. }
  37. ?>
[PHP] pobierz, plaintext


Problem w tym że zawsze stwierdza że $istnick ma jakąś zawartość i wykonuje else - czyli przenosi na index.php Tyle że na index.php gdzie wyświetla powitanie i nick zalogowanego to nicku nie ma.

//edit: rozwiązałem swój problem - zamiast count (*) dałem zaraz po select samo * i działa. Ale prosiłbym o opinie czy powyższy skrypt jest bezpieczny na atak SQL
sajegib
2.04.2013, 18:50:53
Przefiltrować zmienną:

[PHP] pobierz, plaintext 
  1. $haslo
[PHP] pobierz, plaintext
mmmmmmm
2.04.2013, 18:52:39
Nie jest bezpieczny. W haśle może przekazać np. DROP-a. Poza tym, kto na żywca ciąnie hasło? Potrakuj je md5
Michael2318
2.04.2013, 19:30:17
Ja na nick dalbym regexp'a w stylu A-Za-z0-9, inne znaki są zbędne i tak.
Co do hasła to tak jak poprzednicy napisali - po pierwsze teraz można wykonać na to sqli, a po drugie hasło należy potraktować jakimś hashem.
Co do hashu to md5 nie polecam bo ma ogromne bazy danych w sieci i sporo haseł Ci google podrzuci, wystarczy wklepać hash, więc użyłbym chociażby sha1, który działa tak samo tyle że koduje hasło na ciąg 40-bitowy.
A najlepiej to po prostu do hashu dorzucić sól wink.gif
artuross
2.04.2013, 20:14:29
Myslalem, ze sha1 juz tez zlamali smile.gif

Najlepiej uzyc bcrypta lub sha512 i ewentualnie uciac string w pewnym miejscu, tak zeby mial charakterystyczna dlugosc, np. 40 znakow, jesli calkowita dlugosc to zbyt wiele miejsca (mowie tutaj o malych serwisach). A jak sie doda sol to bcrypta ani 512 nikt nie zlamie smile.gif
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.