Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: System logowania opary o MySQL
Forum PHP.pl > Forum > PHP
Strarus
6.01.2009, 17:00:48
cześć:)
Chciałbym napisać system logowania oparty o mysql i sesje. Chciałbym się dowiedzieć na co muszę zwrócić uwagę podczas pisania takowego skryptu aby dany system był jak najbezpieczniejszy. Moja teoria napisania skryptu:
*login.php
- Sprawdza czy zostały przesłane dane (login i hasło). Jeśli tak: łączy się z bazą, wyciąga hasło z tabeli users gdzie login jest taki jak ten z POSTu. Jeśli wszystko się zgadza daję do sesji zmienną zalogowany, następnie przekierowuję na index.php (zabezpieczony przed wejściem bez sesji zalogowany). Jeśli nie są przesłane login i hasło pokazuje formularz z hasłem i loginem.
*logout.php
- Niszczę sesję zalogowany i przekierowuję na index.php
*index.php
- Sprawdzam czy jest sesja zalogowany jeśli tak - wyświetlam zawartość (u mnie będzie to system newsów) jeśli nie pokazuję link zaloguj i inne szczegóły strony.

Wszystko dobrze?? smile.gif Teraz jakich funkcji i gdzie ich użyć aby mój skrypt byłbezpieczny smile.gifquestionmark.gif
kyku
6.01.2009, 17:03:36
moze to poczytaj winksmiley.jpg

Temat: Bezpieczenstwo_skryptow_PHP
Temat: SQL_Injection_Insertion
Temat: podwojne_hashowanie_hasel
Strarus
6.01.2009, 17:46:09
Dzięki smile.gif Zaraz coś naskrobię to dam na forum, żebyście powiedzieli co jest źle haha.gif

napotkałem na dylemat: chcę zarejestrować sesję ale w maualu jest napisane, że:
[PHP] pobierz, plaintext 
  1. <?php
  2. // Nie powinno się już używać session_register()
  3. $barney = "Duży fioletowy dinozaur.";
  4. session_register("barney");
  5.  
  6. // Od PHP 4.1.0 Preferowane jest użycie $_SESSION
  7. $_SESSION["zim"] = "Najeźdźca z innej planety.";
  8.  
  9. // Stara metoda opiera się o $HTTP_SESSION_VARS
  10. $HTTP_SESSION_VARS["spongebob"] = "Ma kwadratowe spodnie.";
  11. ?>
[PHP] pobierz, plaintext


I teraz czego mam użyć haha.gif?? Znaczy $_SESSION['zalogowany']; czy session_register("zalogowany"); questionmark.gif
Mlodycompany
6.01.2009, 18:06:09
użyj poprostu sesji biggrin.gif

[PHP] pobierz, plaintext 
  1. <?php
  2.  
  3. session_start();
  4.  
  5. reszta strony.
  6.  
  7. ?>
[PHP] pobierz, plaintext


Rozpoczecie sesji musi być na samym początku kodu. Nie może być przed tym nawet spacji. Potem dodajesz sobie do tablicy $_SESSION odpowiednie dane jakie chcesz i działasz dalej.
Strarus
6.01.2009, 18:22:25
Teraz proszę o ocenę tego systemu. Chodzi mi o bezpieczeństwo smile.gif

http://strarus.cba.pl/testy/login.php

Jeśli coś jest źle, to proszę także napisać co muszę zrobić aby to naprawić.

aha:
login: test
hasło: pass
Mlodycompany
6.01.2009, 18:30:52
Jak na 1 rzut okiem jest ok. Daj kod to zobaczymy czy w kodzie nie ma jakiś luk.
Strarus
6.01.2009, 18:34:24
login.php
[PHP] pobierz, plaintext 
  1. <?php session_start(); ?>
  2. <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN">
  3. <html xmlns="http://www.w3.org/1999/xhtml" xml:lang="pl" lang="pl">
  4. <head>
  5.       <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-2" />
  6.       <meta name="robots" content="index" />
  7.       <meta name="Author" content="Strarus" />
  8.       <meta name="description" content="Tytuł strony" />
  9.       <meta name="keywords" content="Słowa kluczowe" />
  10.       <meta name="copyright" content="Copyright" />
  11.       <link rel="shortcut icon" href="favicon.ico" />
  12.       <link rel="stylesheet" type="text/css" href="style.css" />
  13.       <title>Untitled</title>
  14. </head>
  15.  
  16. <body>
  17. <?php
  18.  include ('db_connect.inc.php');
  19.  if(!isset($_SESSION['zalogowany'])) {
  20.    
  21.  
  22.  if(isset($_POST['login']) && !empty ($_POST['login']) && isset($_POST['password']) && !empty ($_POST['password'])) {
  23.    $login_post = strip_tags($_POST['login']);
  24.    $pass_post = strip_tags($_POST['password']);
  25.    $dane = @mysql_query("SELECT * FROM users WHERE login='$login_post'");
  26.   if (!$dane) {
  27.     exit('Bład podczas wykonywania zapytania: ' . mysql_error() . '.');
  28.   } else { 
  29.     while ($row = mysql_fetch_array($dane)) {
  30.     $v_password = $row['password'];
  31.   }
  32.  }
  33.   if($pass_post == $v_password) {
  34.     $_SESSION["zalogowany"] = true;
  35.     echo 'Zalogowany! <a href="main.php">Strona główna</a>';
  36.   } else {
  37.     echo 'Złe hasło!';
  38.   }
  39.  } else {
  40.    echo '<form action="login.php" method="post">
  41. <table border="0">
  42.  <tr>
  43.   <td>Login:</td>
  44.   <td><input type="text" name="login" maxlength="12"/></td>
  45.  </tr>
  46.  <tr>
  47.   <td>Hasło:</td>
  48.   <td><input type="password" name="password" maxlength="12"/></td>
  49.  </tr>
  50. </table>
  51. <input type="submit" value="Zaloguj!" />
  52. </form>';
  53.  }
  54. } else {
  55.   echo 'Już jesteś zalogowany.<a href="main.php">Strona główna</a>';
  56. }
  57. ?>
  58. </body>
  59. </html>
[PHP] pobierz, plaintext

main.php
[PHP] pobierz, plaintext 
  1. <?php session_start(); ?>
  2. <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN">
  3. <html xmlns="http://www.w3.org/1999/xhtml" xml:lang="pl" lang="pl">
  4. <head>
  5.       <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-2" />
  6.       <meta name="robots" content="index" />
  7.       <meta name="Author" content="Strarus" />
  8.       <meta name="description" content="Tytuł strony" />
  9.       <meta name="keywords" content="Słowa kluczowe" />
  10.       <meta name="copyright" content="Copyright" />
  11.       <link rel="shortcut icon" href="favicon.ico" />
  12.       <link rel="stylesheet" type="text/css" href="style.css" />
  13.       <title>Untitled</title>
  14. </head>
  15. <body>
  16. <?
  17.  
  18.   if(isset($_SESSION['zalogowany'])) {
  19.  echo 'Strona gdy jestem zalogowany. <a href="logout.php">Wyloguj!</a>';
  20. } else {
  21.   echo 'Strona gdy <b>nie</b> jestem zalogowany';
  22. }
  23. ?>
  24. </body>
  25. </html>
[PHP] pobierz, plaintext

logout.php
[PHP] pobierz, plaintext 
  1. <?php session_start(); ?>
  2. <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN">
  3. <html xmlns="http://www.w3.org/1999/xhtml" xml:lang="pl" lang="pl">
  4. <head>
  5.       <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-2" />
  6.       <meta name="robots" content="index" />
  7.       <meta name="Author" content="Strarus" />
  8.       <meta name="description" content="Tytuł strony" />
  9.       <meta name="keywords" content="Słowa kluczowe" />
  10.       <meta name="copyright" content="Copyright" />
  11.       <link rel="shortcut icon" href="favicon.ico" />
  12.       <link rel="stylesheet" type="text/css" href="style.css" />
  13.       <title>Untitled</title>
  14. </head>
  15. <body>
  16. <?
  17.  
  18.   if(isset($_SESSION['zalogowany'])) {
  19.  unset($_SESSION['zalogowany']);
  20.  echo 'Do zobaczenia! <a href="login.php">Zaloguj ponownie!</a>';
  21. } else {
  22.   echo '<a href="login.php">Zaloguj!</a>';
  23. }
  24. session_destroy();
  25. ?>
  26. </body>
  27. </html>
[PHP] pobierz, plaintext

I jeszcze plik db_connect.inc.php ale jego chyba nie trzeba winksmiley.jpg
Mlodycompany
6.01.2009, 18:51:56
Proponuje Ci zrobić takie zapytanie

[SQL] pobierz, plaintext 
  1. SELECT * FROM `users` WHERE `login` = '".$login."' AND `haslo` = '".$haslo."'
[SQL] pobierz, plaintext


To zapytanie sprawdza czy w bazie jest rekord gdzie login = login a haslo = haslo i zwraca rekord. Możesz sobie zabezpieczyć dodatkowo przed atakiem dodając: 

[PHP] pobierz, plaintext 
  1. <?php
  2. $query = mysql_query(zapytanie w/w);
  3.  
  4. $row = mysql_fetch_row($query);
  5.  
  6. if($row['login'] == $login AND $row['haslo'] == $haslo){
  7.  
  8. $zalogowany = true;
  9.  
  10. }
  11. ?>
[PHP] pobierz, plaintext


i przy zmianie nazwy zmiennych posta dodać funkcję jeszcze addslashes();



Jak na mój gust logowanie będzie dosyć bezpieczne i funkcjonalne. Ja tak robię zawsze i działa wszystko biggrin.gif
Strarus
6.01.2009, 19:05:06
Dzięki wielkie smile.gif A na jaki typ ataku był podatny mój skrypt? W jaki sposób można było przeprowadzić atak? Sprawdzałem tylko
Kod
'or 1=1
i % ale nie działały.
Mlodycompany
6.01.2009, 19:13:32
na SQL inject. % działają jeżeli w zapytaniu mamy LIKE. Jest to stosowane do wyszukiwarek. A i jeszcze jedno. Koduj sobie hasła w md5(); Jest mniejsze ryzyko włamania się na czyjeś konto.
Strarus
6.01.2009, 19:22:46
Nadal nie działa haha.gif 
[PHP] pobierz, plaintext 
  1. <?php
  2. if(isset($_POST['login']) && !empty ($_POST['login']) && isset($_POST['password']) && !empty ($_POST['password'])) {
  3.  $login_post = addslashes(strip_tags($_POST['login']));
  4.  $pass_post = addslashes(strip_tags($_POST['password']));
  5.  $dane = mysql_query("select * from `users` where `login` = '" . $login_post . "' and `password` = '" . $pass_post . "'");
  6.  $row = mysql_fetch_row($dane);
  7.  if($row['login'] == $login_post AND $row['password'] == $pass_post) {
  8.  $_SESSION["zalogowany"] = true;
  9.     echo 'Zalogowany! <a href="main.php">Strona główna</a>';
  10. } else {
  11.     echo 'Złe hasło!';
  12.   }
  13. ?>
[PHP] pobierz, plaintext
. Jak wpisuje poprawne dane to i tak pokazuje złe hasło...I jeszcze pytanie: czy mogę dać w sesji np. $_SESSION["zalogowany"] = $row['login']; aby móc potem weryfikować z sesji nazwę użytkownika przy zmianie hasła?
Mlodycompany
6.01.2009, 20:12:04
Usuń spację w `login` = '".$login."'

Daj pod $row = mysql_fetch_row($dane); print_r($row); i daj to co ci wyprintuje

Możesz tak zrobić, ale lepiej będzie jak zrobisz $_SESSION['login'] = $login; oprócz $_SESSION['zalogowany'] = true;
Strarus
7.01.2009, 08:23:22
daje mi wtedy
Kod
Array (     [0] => test     [1] => pass ) Złe hasło!
... I nadal nie działa... może powrócę do starej wersji?? winksmiley.jpg
Mlodycompany
7.01.2009, 16:31:48
wyprintuj taki sposobem tablice $_POST i porównaj dane.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.