Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: [MySQL][PHP] Bezpieczeństwo przesyłanych danych
Forum PHP.pl > Forum > Przedszkole
Rymtumtum
4.02.2018, 17:21:29
Witam, napisałem skrypt logowania do strony i chciałbym żebyście wskazali mi ewentualne błędy w zabezpieczeniu tego skryptu.

[PHP] pobierz, plaintext 
  1. <?php
  2.     session_start();
  3.     if (isset($_POST['login']) && (isset($_POST['password']))) {
  4.         require_once("connect.php");
  5.         mysqli_report(MYSQLI_REPORT_STRICT);
  6.         try {
  7.             $connect = new mysqli($host, $db_user, $db_password, $db_name);
  8.             if ($connect->connect_errno != 0) {
  9.                 throw new Exception(mysqli_connect_errno());
  10.             } else {
  11.                 $veryfication = true;
  12.                 $login = $_POST['login'];
  13.                 $var_login = filter_var($login, FILTER_SANITIZE_STRING);
  14.                 $password = $_POST['password'];
  15.                 $hash_pass = hash('sha512', $password);
  16.                 $result = $connect->query("SELECT * FROM users WHERE login LIKE '$var_login'");
  17.                 $how_much_user = $result->num_rows;
  18.                 if ($how_much_user == 1) {
  19.                     $record = $result->fetch_assoc();
  20.                     $user_pass = $record['password'];
  21.                     if ($hash_pass !== $user_pass) {
  22.                         $veryfication = false;
  23.                     }
  24.                 } else {
  25.                     $veryfication = false;
  26.                 }
  27.                 if ($veryfication == true) {
  28.                     echo "Udalo Ci sie zalogowac!<br>Witaj ".$var_login."!";
  29.                 } else {
  30.                     echo "bledne danie logowania;
  31.                 }
  32.  
  33.                 $connect->close();
  34.             }
  35.         } catch(Exception $error) {
  36.             echo '<span style="color:red;">Błąd serwera! Przepraszamy za niedogodności. Prosimy o rejestrację w innym terminie.</span>';
  37. 	    echo '<br>Informacja dla dewelopera: '.$error;
  38.         }
  39.     } else {
  40.         header("Location: ../log-in");
  41.     }
  42. ?>
[PHP] pobierz, plaintext


SmokAnalog
4.02.2018, 17:46:37
Dwie rzeczy:
  1. Zapoznaj się z prepared statements.
  2. Hasło możesz sprawdzić na poziomie bazy danych, nie musisz pobierać danych użytkownika.
Rymtumtum
5.02.2018, 17:02:21
Cytat
1. Zapoznaj się z prepared statements.


Nie mam pojęcia jak mam się za to zabrać czytam na php manual i nie wiem jak do tego podejść jak by ktoś mógł podać jakiś przykład albo w skrócie o tym opowiedzieć.

Cytat
2. Hasło możesz sprawdzić na poziomie bazy danych, nie musisz pobierać danych użytkownika.


Poprawiłem by hasło sprawdzało na poziomie bazy danych 

[PHP] pobierz, plaintext 
  1. try {
  2.     $connect = @new mysqli($host, $db_user, $db_password, $db_name);
  3.     if ($connect->connect_errno) {
  4.         throw @new Exception($connect->error);
  5.     } else {
  6.         $login = $_POST['login'];
  7.         $login = filter_var($login, FILTER_SANITIZE_STRING);
  8.         $password = $_POST['password'];
  9.         $password = hash('sha512', $password);
  10.         if (!$result = $connect->query(sprintf("SELECT * FROM users WHERE login LIKE '%s' AND password LIKE '%s'",
  11.         mysqli_real_escape_string($connect, $login),
  12.         mysqli_real_escape_string($connect, $password)))) {
  13.             throw @new Exception($connect->error);
  14.         } else {
  15.             $how_much_users = $result->num_rows;
  16.             if ($how_much_users == 1) {
  17.                 echo "udalo Ci sie zalogowac";
  18.             } else {
  19.                 echo "bledne dane logowania";
  20.             }
  21.         }
  22.     }
  23. } catch(Exception $error) {
  24.     echo $error;
  25. }
[PHP] pobierz, plaintext
nospor
5.02.2018, 17:05:31
http://php.net/manual/en/mysqli.prepare.php

ps:
$how_much_users
uzytkownicy sa policzalni wiec nie much a many.
A juz lepiej to w ogole: $usersCount
Rymtumtum
5.02.2018, 19:00:54
Czy to o to chodziło?? Wszystko działa tylko pytanie czy teraz jest bezpieczne ^^

[PHP] pobierz, plaintext 
  1. try {
  2.     $connect = @new mysqli($host, $db_user, $db_password, $db_name);
  3.     if ($connect->connect_errno) {
  4.         throw @new Exception($connect->error);
  5.     } else {
  6.         $login = $_POST['login'];
  7.         $login = filter_var($login, FILTER_SANITIZE_STRING);
  8.         $password = $_POST['password'];
  9.         $password = hash('sha512', $password);
  10.         if ($stmt = mysqli_prepare($connect, "SELECT password FROM users WHERE login=? ")) {
  11.             mysqli_stmt_bind_param($stmt, "s", $login);
  12.             mysqli_stmt_execute($stmt);
  13.             mysqli_stmt_bind_result($stmt, $user_password);
  14.             mysqli_stmt_fetch($stmt);
  15.             mysqli_stmt_close($stmt);
  16.             if ($password == $user_password) {
  17.                 echo "udalo Ci sie zalogowac";
  18.             } else {
  19.                 echo "logowanie nie powiodlo sie";
  20.             }
  21.         }
  22.         mysqli_close($connect);
  23.     }
  24. } catch(Exception $error) {
  25.     echo $error;
  26. }
[PHP] pobierz, plaintext


No i 2 sprawa jak teraz zrobić porównanie hasła na poziomie bazy danych co_jest.gif
nospor
6.02.2018, 10:47:37
Tak, o to chodzilo.
Co do hasla to bindujesz je tak samo jak login. Mozesz bindowac wiele wartosci a nie tylko jedna. W czym problem?
viking
6.02.2018, 11:07:36
Ja bym jeszcze dodał poziom błędów na exception i pozbył się tego pierwszego ifa.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.