Witam

Mam prosbe do osob bardziej doswiadczonych niz ja. Nie prosze o rady jak wykonac skrypt logowania (co jak zauwazylem spotyka sie z nagana) tylko o ocene.

Wykonalem skrypt logowania umozliwiajacy dostep do okreslonych podstron serwisu po podaniu
loginu i hasla - wg mnie powinien zapewniac jakis stopien bezpieczenstwa. I Tu mam pytanie
poniewaz ta metoda chroniony jest dostep do panelu administracyjnego bazy danych zawierajacej
setki rekordow z raczej waznymi informacjami - na ile to co napisalem jest bezpieczne.

Ponizej skrypt i zasada jego dzialania


login i haslo trzymam w bazie danych MYSQL. Login jest zapisany jako zwykly tekst, haslo jest zapisane
jako ciag znakow utworzony przez funkcje php md5


[php:1:857306c027]
//zmienne iduzytkownika oraz haslo przesylane sa z formularza
if( ($_POST['iduzytkownika'])&&($_POST['haslo']) )
{
// jeżeli użytkownik właśnie podjał próbę zalogowania

//zamiana hasla na ciag znakow
$haslo_zakodowane = md5( ($_POST['haslo']) );

$zapytanie="select * from logowanie where (login='$iduzytkownika') and (pass='$haslo_zakodowane') ";
$wynik=mysql_query($zapytanie, $polaczenie);

if(mysql_num_rows($wynik)>0)
{
// jeżeli dane są w bazie zarejestrowanie identyfikatora użytkownika
$prawid_uzyt=$iduzytkownika;
session_register("prawid_uzyt");
}
}


if(session_is_registered("prawid_uzyt"))
{

********************************************************************

Tu znajduje sie kod ktory widoczny jest jedynie po zalogowaniu

********************************************************************

}[/php:1:857306c027]


Oczywiscie zalozenie jest takie ze sam serwer linuksowy jest dobrze zabezpieczony i obca ingerencja
w zawartosc bazy danych nie bedzie rzecza latwa.

Z gory dziekuje za opinie

------------------------------------------
php >> Skrypty
Post mozderowany [php]
Uzywaj BBCodeu !
Seth

moze byc no ale dozuc jeszcze mozliwosc wyswietlenia kot sie zalogowal tzn logujesz sie i po zalogowaniu wyswietla ci sie napis Witaj Juzek ! aha i jeszcze jesli ktos podany zly login i haslo to komunikat login lub haslo zostaly niepoprawnie wpisane

Polecam sprawdzenie czy masz włączony parametr magic_quotes_gpc, a jeśli nie to ręczne eskejpowanie łańcucha z zapytaniem za pomocą mysql_escape_string. Unikniesz w ten sposób potencjalnej możliwości sql-injection w Twoim kodzie.