Forum PHP.pl > [PHP] czy to bezpieczne odrazu podać w $

Pomoc - Szukaj - Użytkownicy - Kalendarz

Pełna wersja: [PHP] czy to bezpieczne odrazu podać w $_SESSION['user']

hiszpanespaniol

22.05.2008, 22:58:02

zalogować może się tylko jeden użytkownik i tylko z jednym hasłem. bez możliwości zmiany tych parametrów (ja je ustawiam raz na zawsze). Nie chcę więc tworzyć osobnego pliku z tymi parametrami (szyfrowanymi lub nie).

Pytanie brzmi, czy bezpiecznie jest zrobić taki skrypt?

[PHP] pobierz, plaintext 
<?php
if (isset($_SESSION['kim_jestem']) && $_SESSION['kim_jestem'] == jasio) {
echo "
 zalogowany jako " .$_SESSION['kim_jestem']. "<br> <a href=\"wyloguj.php\">wyloguj</a>
";
}
else
{
header("Location:logowanie.php");
}
?>
[PHP] pobierz, plaintext

Crozin

22.05.2008, 23:02:40

Trochę bezpieczniej było by porównywać hashe:

[PHP] pobierz, plaintext 
<?
if(md5($_SESSION['kim_jestem']) == '4ea19358f71379f9bd8fe8e1708812fc') //4ea19358f71379f9bd8fe8e1708812fc = md5('jasio')
?>
[PHP] pobierz, plaintext

hiszpanespaniol

22.05.2008, 23:09:37

wiem, że "trochę". bo skoro ktoś już się pomęczy i JAKIMŚ CUDEM dostanie ten mój kod PHP w swoje ręce, to bez problemu odkoduje sobie zakodowany nick za pomocą jakiegoś dekodera online albo własnego. Skoro więc to możliwe (zakładając że jakoś dostanie mój PHP), to po co mam sobie utrudniać sprawę jeśli itak nie zwiększa to bezpieczeństwa.

Pytanie z tematu nadal więc pozostaje

Crozin

22.05.2008, 23:17:03

Bo jeżeli hasło jest bezpieczne (czyt.: długie, zawiera litery (duże i małe), cyfry, znaki) to "złamanie" go brute-forcem może potrwać na tyle długo, że potencialny "włamywacz" zrezygnuje. Ale z drugiej strony - mając dostęp do pliku, będzie mieć prawdopodobnie dostęp do zapisu i sobie poprostu zmieni to hasło

hiszpanespaniol

23.05.2008, 00:30:53

nadal nie wiem, czy takie rozwiązanie (to z tematu) jest bezpieczne. już nie chodzi mi o to co jest bezpieczniejsze, ale jedynie o to czy to konkretnie jest bezpieczne. Taka sytuacja, ze ktoś dostanie kod php jest dosyć skrajna i właściwie łamie wszelkie możliwości zabezpieczania. Drugą możliwością jaką dla siebie widzę, jest umieszczenie hasła i loginu w osobnym skrypcie o poziom wyżej niż public_html. ale właśnie takiego umieszczania chciałem uniknąć.

.radex

23.05.2008, 09:48:49

nazwę usera możesz podać bez haszowania, ale pod warunkiem, że masz zahaszowane inne dane w sesji, które udowodnią własność konta.

hiszpanespaniol

23.05.2008, 10:24:43

z tej rozmowy wnioskuję:

to rozwiązanie JEST bezpieczne, ale z szyfrowaniem (np algorytmem MD5).

Dziękuję i pozdrawiam, problem rozwiązany...

.radex

23.05.2008, 10:33:58

MD5 nie szyfruje, tylko haszuje.

MD5 nie można odszyfrować.

hiszpanespaniol

23.05.2008, 14:13:10

no to świetnie

czyli właściwie mając nawet ten ciąg:

[PHP] pobierz, plaintext 
<?php
4ea19358f71379f9bd8fe8e1708812fc
?>
[PHP] pobierz, plaintext

który jest zahaszowanym hasłem, ewentualnemu cracker'owi nie uda się szybko odgadnąć że to "jasio". w skrypcie "zalogowaność" sprawdzam więc tak:

[PHP] pobierz, plaintext 
<?php
if (isset($_SESSION['kim_jestem']) && md5($_SESSION['kim_jestem']) == '4ea19358f71379f9bd8fe8e1708812fc')
{
  echo "<b>Witaj: </b>".$_SESSION['user'];
}
?>
[PHP] pobierz, plaintext

Niema w moim przypadku potrzeby zapisu danych gdziekolwiek oprócz wnętrza skryptu, a nawet tam "jasio" (czyli hasło) jest haszowany. Jak widać w kodzie powyżej "kim_jestem" nie jest loginem. Jest hasłem. Zrobiłem tak dlatego, ze login wyskakiwał w formularzu logowania po kliknięciu w puste pole (podpowiedź przeglądarki), z hasłem się tak nie dzieje. Teraz już jest bezpiecznie (md5 hasła służy do weryfikacji bycia zalogowanym).
Poprawcie mnie jeśli popełniam jakiś ideologiczny błąd typu "nigdy nie weryfikuj za pomocą hasła"

pyro

23.05.2008, 14:24:55

Cytat(hiszpanespaniol @ 22.05.2008, 23:58:02 )

[PHP] pobierz, plaintext 
<?php
if (isset($_SESSION['kim_jestem']) && $_SESSION['kim_jestem'] == jasio) {
echo &#092;"
 zalogowany jako &#092;" .$_SESSION['kim_jestem']. \"
 <a href=&#092;"wyloguj.php\">wyloguj
&#092;";
}
else
{
header(&#092;"Location:logowanie.php\");
}
?>
[PHP] pobierz, plaintext

zrobiles male bledy...
</a href=\"wyloguj.php\">

[PHP] pobierz, plaintext 
<?php
if (
// {to nie jest potrzebne} isset($_SESSION['kim_jestem']) && 
$_SESSION['kim_jestem'] == 'jasio') { // nie dales cudzyslowow do jasio
// a co z haslem?
echo "
 zalogowany jako " .htmlspecialchars($_SESSION['kim_jestem']). " // dodalem htmlspecialchars, z pwoodu mozliwosci ataku XSS
 wyloguj
";
}
else
{
header("Location:logowanie.php");
}
?>
// uzywanie md5 nie jest tu potrzebne, to jest bezpieczne
[PHP] pobierz, plaintext

.radex

23.05.2008, 14:54:34

jest ok. Ja generalnie robię to podobnie:

jedna sesja z nazwą usera
i druga sesja ze specjalnie spreparowanym tekstem, który udowadnia tożsamość. Tym tekstem może być właśnie hasło.

hiszpanespaniol

23.05.2008, 15:01:43

to ja może podam całość jaką teraz mam, żeby nie było wątpliwości czemu sprawdzam tylko jedną wartość:

to jest formularz logowania HTML (plik index.php):

[PHP] pobierz, plaintext 
<?php
if (isset($_SESSION['kim_jestem']) && md5($_SESSION['kim_jestem']) == '4ea19358f71379f9bd8fe8e1708812fc')
{
  echo "<b>Witaj człowieku: </b><br>\n<a href=\"logout.php\">Wyloguj się</a><br>\n<a href=\"zalogowany.php\">Twoja strona</a>";
}
else{
echo "
<form method=\"POST\" action=\"sprawdz.php\">
<table>
<tr><th align=\"right\">Login:</th><td align=\"left\"><input type=\"text\" name=\"login\"></td></tr>
<tr><th align=\"right\">Hasło:</th><td align=\"left\"><input type=\"password\" name=\"haslo\"></td></tr>
<tr><td align=\"center\" colspan=\"2\"><input type=\"submit\" value=\"loguj\" name=\"logowanie\"></td></tr>
</table>
</form>
";
}
?>
[PHP] pobierz, plaintext

Taki skrypt sprawdza formularz logowania (jest to plik sprawdz.php)

[PHP] pobierz, plaintext 
<?php
session_start(); 
if($_POST['logowanie']){
  $pobrany_login = htmlspecialchars($_POST['login']);
  $pobrane_haslo = htmlspecialchars($_POST['haslo']);
  if($pobrany_login == 'jasio' && md5($pobrane_haslo) == '4ea19358f71379f9bd8fe8e1708812fc'){
	$_SESSION['kim_jestem'] = md5($pobrane_haslo);
	header("Location:zalogowany.php");
  }
  else{
	header("Location:index.php");
  }
}
else{
  header("Location:index.php");
}
?>
[PHP] pobierz, plaintext

a tak wygląda dowolna strona dostępna tylko po zalogowaniu (startowa to zalogowany.php):

[PHP] pobierz, plaintext 
<?php
session_start();
if (isset($_SESSION['kim_jestem']) && md5($_SESSION['kim_jestem']) == '4ea19358f71379f9bd8fe8e1708812fc') {
echo "
jesteś zalogowany. Tutaj możesz sobie zmieniać swoje wpisy<br> <a href=\"logout.php\">wyloguj</a>
";
}
else
{
header("Location:index.php");
}
?>
[PHP] pobierz, plaintext

ostatni plik który wyloguje użytkownika (logout.php):

[PHP] pobierz, plaintext 
<?php
session_start(); 
if (isset($_SESSION['kim_jestem']))
{
  echo "zostałeś wylogowany<br>";
  echo "<a href=\"index.php\">Strona Główna</a>";
  session_destroy();
}
else{
  header("Location:index.php");
}
?>
[PHP] pobierz, plaintext

"a co z hasłem?"
jak widać w pliku zalogowany.php sprawdzam tylko jedną wartośc. a to dlatego, że jest ona tworzona w pliku sprawdz.php jedynie kiedy zgadza się i login i hasło (narazie są jednakowe).
co do tego, że niepotrzenie sprawdzam, czy $_SESSION['kim_jestem'] w ogóle jest zdefiniowana, to czytałem gdzies, ze PHP inaczej zareaguje w przypadku jedynie sprawdzania wartości, a inaczej w przypadku sprawdzania i istnienia i wartości. Nie pamiętam tego, ale coś mi się kojarzy z jakimś E_NOTICE.

teraz już widac całość tej strony mojej. Nigdzie niema hasła odkrytego.

To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.