[PHP] pobierz, plaintext 
<?php
session_start();
include 'dbc.php'; //polaczenie z baza danych
	$user_login = htmlspecialchars(stripslashes(strip_tags(trim($_POST['username']))));
 
 
$pass = md5(htmlspecialchars(stripslashes(strip_tags(trim($_POST['password'])))));
$user_password = sha1($pass.$user_login);
 
 
     $user_log = "user_login='$user_login'";
	 $user_pass = "user_password='$user_password'";
 
 $result = mysql_query("SELECT `id`,`user_login`,`user_password`,`banned` FROM users WHERE 
           $user_log AND $user_pass AND `banned` = '0'
			") or die (mysql_error()); 
 
 
	 if (mysql_num_rows($result) == 1) {
 
	   session_regenerate_id (true);
		$_SESSION['user_name'] = $user_login;
		header('Location: index2.php');
 
	 } else {
		echo "Logowanie się nie powiodło :("; 
 
	 }
?>
[PHP] pobierz, plaintext 

Witam, napisałem skrypt logujący użytkownika wszystko działa prawidłowo lecz chcę się dowiedzieć w jaki sposób zabezpieczyć taki skrypt przed atakami. Robię coś źle? Jakieś propozycję?

Dzięki

a to co za wynalazek?

[HTML] pobierz, plaintext 
$pass = md5(htmlspecialchars(stripslashes(strip_tags(trim($_POST['password'])))));
[HTML] pobierz, plaintext 

wepchałeś tu całą masę funkcji a i tak nie zabezpieczyłeś:

[HTML] pobierz, plaintext 
$user_login = htmlspecialchars(stripslashes(strip_tags(trim($_POST['username']))));
[HTML] pobierz, plaintext 

W taki sposób do niczego nie dojdziesz...dowiedz się co robią te funkcje i w jakich sytuacjach je używać i rób to z głową, a nie na zasadzie "wepcham wszystko to będzie ok", do zabezpieczania zapytań używa się mysql_real_escape_string() dla string oraz np. rzutowanie na int (int) dla int, poczytaj sobie o sql injection, bo nawet ta funkcja w pewnych sytuacjach może nie być wystarczająca

[PHP] pobierz, plaintext 
$pass = md5(htmlspecialchars(stripslashes(strip_tags(trim($_POST['password'])))));
[PHP] pobierz, plaintext 

To, co robisz w tym kodzie jest całkowicie zbędne. Wystarczy, że użyjesz funkcji haszującej, jest to wystarczające zabezpieczenie.

[PHP] pobierz, plaintext 
$user_password = sha1($pass.$user_login);
[PHP] pobierz, plaintext 

A takie zabawy są już ciekawsze:) Tylko zamiast $user_login używa się zazwyczaj soli, czyli jakiegoś indywidualnego ciągu znaków, który również zapisujesz do bazy. Możesz użyć np. funkcji http://pl2.php.net/manual/en/function.microtime.php do jego generowania.

[PHP] pobierz, plaintext 
$user_login = htmlspecialchars(stripslashes(strip_tags(trim($_POST['username']))));
[PHP] pobierz, plaintext 

Wystarczy, że użyjesz metody:
http://pl2.php.net/manual/en/function.mysq...cape-string.php
Jednak osobiście uważam, że co do loginu, to walidacja powinna wyglądać trochę inaczej. Chodzi o to, że zazwyczaj login ma pewien określony zbiór znaków, z których może się składać np. litery, cyfry, _, -, spacja itp. W każdym razie zbiór dozwolonych znaków jest określony dlatego też lepiej walidować login użytkownika, a nie (tak jak ty) filtrować.
Do walidacji przydaje się funkcja:
http://pl2.php.net/manual/en/function.preg-match.php

ok dzięki zrobie tak ja mówicie

"Możesz użyć np. funkcji http://pl2.php.net/manual/en/function.microtime.php do jego generowania."

jeśli tego użyje to co z saltem w rejestracji?

Sorry, z tą solą to trochę pokręciłem. Tak to jest jak się robi dziesięć rzeczy na raz:P
Sól to jest unikalny string (zazwyczaj). Może on być zahardcodowany w pliku lub zapisany w bazie. Dzięki niej ciężej jest odkryć hasło, które zostało przepuszczone przez funkcję haszującą.
Twoją solą może być np. 'sad8%$9sdk' lub cokolwiek zechcesz. Im bardziej przypadkowy jest to zbiór znaków, tym lepiej.
I tą właśnie sól doklejasz do hasła, które przesłał użytkownik, nie ważne czy to rejestracja, czy logowanie.
http://en.wikipedia.org/wiki/Salt_%28cryptography%29

Mógłbyś mi wytłumaczyć o co chodzi z mysql_real_escape_string? Czytałem tego manuala ale coś nie bardzo

[PHP] pobierz, plaintext 
$query = sprintf("SELECT * FROM users WHERE user='%s' AND password='%s'",
            mysql_real_escape_string($user),
            mysql_real_escape_string($password));
[PHP] pobierz, plaintext 

o co chodzi?

a tutaj jak chcesz masz po polsku:
http://php-manual.skryptoteka.pl/function....ape-string.html

Poprawiłem skrypt, teraz dobrze?

[PHP] pobierz, plaintext 
<?php
session_start();
// Connect
define ("DB_HOST", "xxx"); // set database host
define ("DB_USER", "xxx"); // set database user
define ("DB_PASS","xxx"); // set database password
define ("DB_NAME","users"); // set database name
 
$link = mysql_connect(DB_HOST, DB_USER, DB_PASS) or die("Couldn't make connection.");
$db = mysql_select_db(DB_NAME, $link) or die("Couldn't select database");
 
     if(get_magic_quotes_gpc()) {
            $uzytkownik = stripslashes($_POST['login']);
			$haslo = stripslashes(sha1($_POST['password'].'sad8%$9sdk'));
        } else {
            $uzytkownik = $_POST['login'];
            $haslo = sha1($_POST['password'].'sad8%$9sdk');
        }
$query = sprintf("SELECT * FROM users WHERE user_login='%s' AND user_haslo='%s'",
            mysql_real_escape_string($uzytkownik),
            mysql_real_escape_string($haslo));
 
		mysql_query($query, $link);
 
		   if (mysql_affected_rows($link) > 0) {   
           session_regenerate_id (true);
 
			$_SESSION['user_name'] = $uzytkownik;
                        $_SESSION['HTTP_USER_AGENT'] = sha1($_SERVER['HTTP_USER_AGENT'].'dsd#$%^');
		    header('Location: index2.php');
 
        } else {
			echo "Logowanie nie powidło się :)";
		}
?>
[PHP] pobierz, plaintext 

Tak na pierwszy rzut oka to ok.
Usunąłbym jednak te constant value. Po co ci one? I tak z bazą łączysz się raz. Już prędzej wykorzystałbym to do przechowywania soli.
A następny krok to OOP:)

Ok Mam jeszcze jedno pytanie, przeczytałem gdzieś "Nie trzymaj w sesji nazwy użytkownika tylko np. wspomniany już losowy identyfikator..." to jak użytkownik będzie edytował treści itp.?

w sesji trzymasz to co potrzebujesz oprócz hasła. Przeważnie trzyma się id, nazwa użytkownika, e-mail, czas ostatniego logowanie i co tam jeszcze potrzebne. Poza tym nigdy nie identyfikuj użytkownika po jego nazwie, ani w ogóle żadnego innego rekordu po nazwie - zawsze używaj do tego celu unikalnego numeru ID.

Czyli jak użytkownik dodaje komentarz to będzie ... WHERE iduser=$id?

tak, ale dla zabezpieczenia dajesz jeszcze rzutowanie na int czyli

[PHP] pobierz, plaintext 
" WHERE iduser=".(int)$id
[PHP] pobierz, plaintext 

i analogicznie odwołujesz się do innych rekordów z pozostałych tabel czyli np.

[PHP] pobierz, plaintext 
UPDATE news WHERE news_id = ".(int)$id  itd.
[PHP] pobierz, plaintext 

to id w bazie ustawiasz pole INT może być UNSIGNED, autoincrement i primary key, oczywiście są też sytuacje gdzie robi się primary key z kilku kolumn ale na początek powinno Ci wystarczyć, że rozróżnianie rekordów, edycja usuwanie na podstawie pola ID

Jak użytkownik dodaje komentarz to w tabeli trzymasz jego ID
czyli masz tabelę:
comments:
- comment_id (int)
- comment_text (text)
- comment_date (timestamp)
- comment_user (int) - i tutaj trzymasz jego numer ID

a przy poprawnym logowaniu przypisać id używając:

[PHP] pobierz, plaintext 
$row = mysql_fetch_assoc($query);
$_SESSION['user_id'] = $row['user_id'];
[PHP] pobierz, plaintext 

?

dokładnie, możesz również przypisać inne przydatne rzeczy, np. przypiszesz sobie nazwę użytkownika to będziesz mógł zrobić

[PHP] pobierz, plaintext 
echo 'Witaj '.$_SESSION['user_name']
[PHP] pobierz, plaintext 

generalnie tego typu kwestii jest jeszcze mnóstwo to co tu wspomnieliśmy to zaledwie wierzchołek góry lodowej, dlatego polecałbym bym Ci poszukać sobie w dziale Książki jakąś fajną książkę bo to najlepszy sposób na opanowanie podstaw i wbrew pozorom o wiele szybszy niż takie mozolne kombinowanie na własną rękę

Dzięki

Mam jeszcze jedno pytanko

w bazie mam user_id, user_login, user_haslo

1. user_id pole typ INT UNSIGNED autoincrement primary key
2. user_login typ?
3. user_haslo typ?

Co najlepiej wybrać do loginu i hasła? VARCHAR?

tak oba varchar, ponieważ zezwalasz na użycie dowolnych znaków( various characters) na początek możesz dawać varchar(255), no chyba, że wprowadzasz walidację odnośnie maksymalnej długości wtedy pole nieodpowiednio mniejsze, jak już będziesz bardziej zaawansowany to warto precyzyjniej dobierać długość. W przypadku hasła pozwalasz na użycie dowolnych znaków, natomiast w przypadku loginu przeważnie zezwala się wyłącznie na znaki alfanumeryczne, czyli litery i cyfry

A ja mam tylko pytanie po co to rzutowanie na integer przy id użytkownika? Przecież ta wartość jest pobierana z bazy i trzymana w sesji, a więc wiemy, że jest poprawna. A w zapytaniu tak samo na zadziała '1'(string) oraz 1(integer). Nie widzę żadnego powodu, aby robić coś takiego.

no może akurat w tym przypadku w kodzie proceduralnym nie będzie to konieczne, ale przecież w praktyce zmienne są podawane do metody jako argumenty i zapytanie trzeba odpowiednio zabezpieczyć bez wnikania skąd to będzie pochodziło bo różnie może być metoda użyta. Wydaje mi się, że też jako początkujący lepiej jak się nauczy zabezpieczać 100% przypadków, bo potem są takie sytuacje, gdzie bez namysłu skopiuje sobie gotowe zapytanie na inną podstronę zamieni $_SESSION na $_GET i luka gotowa

Tak, w mysql tak samo zadziała

[PHP] pobierz, plaintext 
user_id = 1 oraz user_id = '1'
[PHP] pobierz, plaintext 

więc, tutaj można mówić jedynie o dobrym nawyku programowania, skoro mamy pole typu int to powinniśmy podawać int, a nie parsować string

Chciałbym dodać do wypowiedzi tehaha, co to typów, że jeżeli hashujesz hasło, to warto zastosować pole o stałej długości czyli char zamiast varchar.