Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: [PHP][MySQL] Bezpieczeństwo i poprawność logowania
Forum PHP.pl > Forum > Przedszkole
Darekxp
19.04.2012, 22:43:50
Witam!

Czy takie logowanie jest w miare bezpieczne? Jeśli nie co jest nie tak? Za pomoc z góry dziękuję

[PHP] pobierz, plaintext 
  1. <?php
  2.  
  3.   if($_SESSION['userId'] > 1)  
  4.   { 
  5.     header('Location: /index.php');
  6.   }        
  7.   else {
  8.  
  9.   $user      = filter($_POST['login']);
  10.   $password  = md5(filter($_POST['password']));  
  11.   $query     = mysql_query(' SELECT * FROM `users` WHERE userLogin="'.query($user).'" AND userPassword="'.query($password).'" AND userActive="yes" ');
  12.  
  13.   if($query && mysql_num_rows($query) == 1)
  14.   {
  15.     while($row = mysql_fetch_array($query))      
  16.     {
  17.         session_start();          
  18.         if (!isset($_SESSION['initiate']))          
  19.         {                   
  20.           session_regenerate_id();              
  21.           $_SESSION['initiate']           = true;
  22.           $_SESSION['initiate']           = $new;
  23.           $_SESSION['address_ip']         = $_SERVER['REMOTE_ADDR'];
  24.           $_SESSION['userId']             = $row['userId'];
  25.           $_SESSION['userLogin']          = $row['userLogin'];
  26.           $_SESSION['userPassword']       = $row['userPassword'];                    
  27.           $_SESSION['userActive']         = $row['userActive']; 
  28.           $_SESSION['userGroup']          = $row['userGroup']; 
  29.           $_SESSION['userName']           = $row['userName']; 
  30.           $_SESSION['userSurname']        = $row['userSurname'];    
  31.           $_SESSION['userCity']           = $row['userCity'];  
  32.           $_SESSION['userPhoneNumber']    = $row['userPhoneNumber']; 
  33.           $_SESSION['userEmail']          = $row['userEmail']; 
  34.           $_SESSION['userGGNumber']       = $row['userGGNumber']; 
  35.           $_SESSION['userAboutMe']        = $row['userAboutMe'];  
  36.           $_SESSION['userDateBirth']      = $row['userDateBirth']; 
  37.  
  38.           $_SESSION['userHideDateBirth']  = $row['userHideDateBirth'];   
  39.           $_SESSION['userHideSurname']    = $row['userHideSurname'];    
  40.           $_SESSION['userHidePhoneNumber']= $row['userHidePhoneNumber']; 
  41.           $_SESSION['userHideEmail']      = $row['userHideEmail']; 
  42.           $_SESSION['userHideGGNumber']   = $row['userHideGGNumber']; 
  43.           $_SESSION['userHideAboutMe']    = $row['userHideAboutMe'];  
  44.  
  45.           $_SESSION['userLastLogin']      = $row['userLastLogin'];  
  46.           $_SESSION['userLastLoginIP']    = $row['userLastLoginIP'];
  47.  
  48.           mysql_query(' UPDATE `users` SET userLastLogin="'.query(date('Y-m-d H:i:s')).'"           WHERE userId="'.query($_SESSION['userId']).'" LIMIT 1');
  49.           mysql_query(' UPDATE `users` SET userLastLoginIP="'.query($_SERVER['REMOTE_ADDR']).'"     WHERE userId="'.query($_SESSION['userId']).'" LIMIT 1');
  50.  
  51.           header('Location: /myAccount');                                 
  52.         }
  53.     }
  54.   }
  55.   else
  56.     { 
  57.       systemMessage('Logowanie', 'Prawdopodobnie podałeś zły login, lub hasło.', '', '', 'login', 'Spróbuj ponownie się zalogować', '', '', '', 'COMMUNIQUE_ERROR');
  58.     }
  59. }
  60.  
  61. ?>
[PHP] pobierz, plaintext
vieri_pl
20.04.2012, 03:31:22
Na pewno możesz posolić hasło, samo md5 to dość mało.

PS: Dlaczego masz dwa razy mysql_query, linia 48,49? Przecież to jedno zapytanie załatwi wink.gif
pyro
20.04.2012, 04:24:22
Cały ten kod jest kompletnie bez sensu. Nie jest ani bezpieczny, ani wydajny, ani zgodny z zasadą DRY. Aż mi się nie chce wymieniać. Spróbuj to jeszcze raz napisać.
vieri_pl
20.04.2012, 04:37:19
Pyro, ale kod nie jest bez sensu bo spełnia swoje zadanie, usera zaloguje, a to w jakim stylu... Tak na dobrą sprawę kazałeś człowiekowi napisać to jeszcze raz nie podając mu żadnych wskazówek jak to powinno wyglądać.

Od siebie dodam:
- jeśli do wartości do sesji mają taką samą nazwę jak rekord w bazie to wystarczy zrobić foreach($row as $key => $val) i dopisać wszystko do sesji.
- na pewno nie musisz pobierać wszystkiego (*) z bazy by zobaczyć czy user istnieje, do tego nie musisz pobierać nawet więcej niż dwóch rekordów wink.gif
- $_SESSION['initiate'] najpierw true, a potem nie zdefiniowana zmienna $new? To notice.
- Zamiast funkcji date w PHP w zapytaniu możesz użyć NOW()
Niktoś
20.04.2012, 15:06:28
Przechowywanie wszystkiego w sesji,nie jest ani bezpieczne, ani wydajne.
PanGuzol
21.04.2012, 01:48:00
Korzystasz z $_SESSION w 3 linii ale session_start() masz dopiero w 17.
Van Pytel
21.04.2012, 11:30:32
Po co to:
[PHP] pobierz, plaintext 
  1. AND userPassword="'.query($password)
[PHP] pobierz, plaintext


Lepiej pobrać login i hasło usera z bazy (WHERE login = login), a potem dopiero sprawdzić w php czy hasło równa się haśle (if...)
PanGuzol
21.04.2012, 17:43:09
Cytat(Van Pytel @ 21.04.2012, 11:30:32 ) *
Po co to:
[PHP] pobierz, plaintext 
  1. AND userPassword="'.query($password)
[PHP] pobierz, plaintext


Lepiej pobrać login i hasło usera z bazy (WHERE login = login), a potem dopiero sprawdzić w php czy hasło równa się haśle (if...)

Lepiej przenieść jak najwięcej logiki do bazy danych. Czyli od razu w zapytaniu dać porównania do loginu i hasła, warto jeszcze do tego zrobić index unique dla loginu.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.