Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: Logowanie dwuskładownikowe
Forum PHP.pl > Forum > PHP
inomi13
15.02.2021, 22:37:54
Witam ma poniższy kod, który po wpisaniu poprawnego hasła wysyła na skrzynkę e-milową kod weryfikacyjny w celu zalogowaniu do Panelu. Proszę o sugestie i ewentualne uwagi czy to co zrobiłem zdaje egzamin i czy kod jest bezpieczny

index.php
[PHP] pobierz, plaintext 
  1. <?php
  2. 	session_start();
  3. 	if ((isset($_SESSION['logged'])) && ($_SESSION['logged']==true))
  4. 	{
  5. 	header('Location: panel.php');
  6. 	exit();
  7. 	}
  8. 	if (isset($_SESSION['e_error']))
  9. 	{
  10. 		echo $_SESSION['e_error'];
  11. 		unset($_SESSION['e_error']);
  12. 	}
  13. ?>
  14. <!DOCTYPE HTML>
  15. <html lang="pl">
  16. <head>
  17. 	<title>Panel logowania</title>
  18. </head>
  19. <body>
  20. <main>
  21. <?php
  22. if(!isset($_SESSION['email']))
  23. {
  24. ?>
  25. <div class="container">
  26. <form action="login.php" method="post"> 
  27. 	<input type="email" name="email" placeholder="Adres e-mail:" onfocus="this.placeholder=''" onblur="this.placeholder='login:'" required ><br />
  28. 	<input type="password" name="pass" placeholder="Hasło:" onfocus="this.placeholder=''" onblur="this.placeholder='hasło:'"  pattern="^(?=.*[a-z])(?=.*[A-Z])(?=.*\d)(?=.*[?!@#$%^&*])[A-Za-z\d!@#?$%^&*]{8,}$" title="Hasło musi zawierać minimum 8 znaków składających się z co najmniej jednej cyfry, jednej wielkiej i małej litery oraz znaku specjalnego:" required><br />
  29. 	<button type="submit">ZALOGUJ <i class="fas fa-sign-in-alt"></i></button><br/>
  30. 	<a href="pass_reset.php">Zapomniałeś hasła</a>
  31. </form>	
  32. <?php
  33. 	if (isset($_SESSION['error']))
  34. 	{
  35. 		echo '<div class="error">'.$_SESSION['error'].'</div>';
  36. 		unset($_SESSION['error']);
  37. 	}
  38. }
  39. else
  40. {
  41. ?>
  42. </div>
  43. <div class="container">
  44. <form action="login.php" method="post">Kod weryfikacyjny został wysłany na adres e-mail powiązany z Twoim kontem.<br />
  45. <input type="password" name="code_verify" placeholder="Kod weryfikacyjny:" onfocus="this.placeholder=''" onblur="this.placeholder='Kod:'" minlength="8" ><br />
  46. <button type="submit" name="submit_code">ZALOGUJ <i class="fas fa-sign-in-alt"></i></button><br/>
  47. </form>
  48. <?php
  49. 	if (isset($_SESSION['error']))
  50. 	{
  51. 		echo '<div class="error">'.$_SESSION['error'].'</div>';
  52. 		unset($_SESSION['error']);
  53. 	}						
  54. }
  55. ?>
  56. </div>	
  57. </main>
  58. </body>
  59. </html>
[PHP] pobierz, plaintext





login.php
[PHP] pobierz, plaintext 
  1. <?php
  2. 	session_start();
  3. 	require_once "connect.php";
  4. 	$connect = @new mysqli($host, $db_user, $db_password, $db_name);
  5.  
  6. 	if ($connect->connect_errno!=0)
  7. 	{
  8. 		$cod_error = $connect->connect_errno;
  9. 		$error = '<div class="alert alert-danger"><strong>Błąd '.$cod_error.'!</strong> Przepraszamy za niedogodności i prosimy o wykonanie operacji w innym terminie!</div>';	
  10. 		$_SESSION['e_error'] = $error;
  11. 		header('Location: index.php');
  12. 		exit();
  13. 	}
  14. 	else
  15. 	{	
  16. 		if (isset($_POST['submit_code']))
  17. 		{
  18. 			$all_ok=true;
  19. 			$code_verify=$_POST['code_verify'];
  20. 			$result_code = $connect->query("SELECT id, name, roles FROM persons WHERE code_verify='$code_verify' AND email='{$_SESSION['email']}'");
  21.  
  22. 			if (!$result_code) throw new Exception($connect->error);
  23.  
  24. 			$how_code = $result_code->num_rows;
  25.  
  26. 			if($how_code>0)
  27. 			{
  28. 				unset($_SESSION['error']);
  29. 				$row = $result_code->fetch_assoc();
  30. 				$_SESSION['logged'] = true;
  31. 				$_SESSION['id'] = $row['id'];	
  32. 				$_SESSION['name'] = $row['name'];
  33. 				$_SESSION['roles'] = $row['roles'];				
  34.  
  35. 				switch($row['roles'])	
  36. 				{
  37.  
  38. 					case "1":
  39. 					header('Location: admin/panel.php');
  40. 					exit;
  41. 					break;
  42.  
  43. 					case "0":
  44. 					header('Location: panel.php');
  45. 					exit;
  46. 					break;
  47. 				}
  48. 			}
  49. 			else
  50. 			{
  51. 				$all_ok=false;
  52. 				$_SESSION['error']='Wprowadzono błędny kod weryfikacyjny';	
  53. 				header('Location: index.php');
  54. 				exit();	
  55. 			}
  56. 		}
  57. 		else
  58. 		{
  59. 		$email = $_POST['email'];
  60. 		$pass = $_POST['pass'];
  61. 		$email = htmlentities($email, ENT_QUOTES, "UTF-8");
  62. 		if ($result = @$connect->query(sprintf("SELECT email, pass FROM persons WHERE email='%s'",mysqli_real_escape_string($connect,$email))))
  63. 		{
  64. 			$users = $result->num_rows;
  65. 			if($users>0)
  66. 			{
  67. 				$row = $result->fetch_assoc();
  68.  
  69. 				if (password_verify($pass, $row['pass']))
  70. 				{
  71. 					$codeAlphabet= substr(str_shuffle("0123456789"), 0, 8);
  72.  
  73. 					if ($connect->query("UPDATE `persons` SET `code_verify` = '$codeAlphabet' WHERE email='$email'"))
  74. 					{
  75. 						require "PHPMailer/PHPMailerAutoload.php";
  76.  
  77. 						$mail = new PHPMailer();
  78. 						$mail->CharSet = "UTF-8";
  79. 						$mail->IsSMTP();
  80. 						$mail->SMTPAuth = true; 
  81.  
  82. 						$mail->SMTPSecure = 'ssl'; 
  83. 						$mail->Host = '***********';
  84. 						$mail->Port = 465;  
  85. 						$mail->Username = '***********';
  86. 						$mail->Password = '***********';   
  87.  
  88. 						$mail->IsHTML(true);
  89. 						$mail->From='***********';  
  90. 						$mail->FromName='Tytuł';
  91.  
  92. 						$mail->AddReplyTo('***********');
  93. 						$mail->Subject = 'Tytuł';
  94. 						$mail->AddEmbeddedImage('img/logo.png', 'logo');
  95. 						$mail->Body ="<center><img class=logo src=\"cid:logo\" width=250px height=60px width=20%> 
  96. 									<br/>Wprowadź $codeAlphabet aby się zalogować.</a><br />";
  97. 						$mail->AddAddress($email);
  98. 						if(!$mail->Send())
  99. 						{
  100. 							echo '<div class="alert alert-danger"><strong>Błąd!</strong> Kod nie został wysłany, prosimy o wykonanie operacji w innym terminie!</div>';	
  101. 						}
  102. 						else
  103. 						{
  104. 							$_SESSION['email'] = $row['email'];
  105. 							header('Location: index.php');	
  106. 							exit;
  107. 						}
  108. 					}
  109. 				}
  110. 				else 
  111. 				{
  112. 					$_SESSION['error'] = 'Błędny login lub hasło!';
  113. 					header('Location: index.php');
  114. 					exit;
  115. 				}
  116. 			}		
  117. 		}
  118. 		$connect->close();
  119. 		}
  120. 	}
  121. ?>
[PHP] pobierz, plaintext
viking
16.02.2021, 10:47:02
Nic tu nie jest w porządku. Zaczynając od ogromnego bałaganu, pomieszania kodu. Wstawiasz dane z POST do zapytania - sql injection.
inomi13
17.02.2021, 15:39:09
Poprawiłem bałagan w kodzie jednak mam problem ponieważ utknąłem i nie wiem czy idę dobrą drogą tzn. jeżeli występuje użytkownik i został zweryfikowany to następuje wysłanie kodu weryfikacyjnego na skrzynkę e-mail. I teraz rodzi się problem czy sprawdzenie kodu zrobić w osobnym pliku? w części tego kodu? jak się do tego zabrać? Czy w ogóle ma sens bawienie się w dwu składnikowe logowanie... sad.gif


[PHP] pobierz, plaintext 
  1. <?php
  2. 	session_start();
  3. 	if ((!isset($_POST['email'])) || (!isset($_POST['pass'])))
  4. 	{
  5. 		header('Location: index.php');
  6. 		exit();
  7. 	}
  8.  
  9. 	require_once "connect.php";
  10. 	$connect = @new mysqli($host, $db_user, $db_password, $db_name);
  11.  
  12. 	if ($connect->connect_errno!=0)
  13. 	{
  14. 		$cod_error = $connect->connect_errno;
  15. 		$_SESSION['e_error'] = '<div class="alert alert-danger"><strong>Błąd '.$cod_error.'!</strong> Przepraszamy za niedogodności i prosimy o wykonanie operacji w innym terminie!</div>';	
  16. 		header('Location: index.php');
  17. 		exit();
  18. 	}
  19. 	else
  20. 	{
  21. 		$email = htmlentities($_POST['email'], ENT_QUOTES, "UTF-8");
  22.  
  23. 		if ($result = @$connect->query(sprintf("SELECT * FROM persons WHERE email='%s'", mysqli_real_escape_string($connect,$email))))
  24. 		{
  25. 			$row = $result->fetch_assoc();
  26. 			if (($result->num_rows == 1) && (password_verify($_POST['pass'],$row['pass'])))
  27. 			{	
  28. 				$codeAlphabet= substr(str_shuffle("0123456789"), 0, 8);
  29. 				if (@$connect->query(sprintf("UPDATE `persons` SET `code_verify` = '$codeAlphabet' WHERE email='%s'", mysqli_real_escape_string($connect,$email))))
  30. 				{
  31. 					require "PHPMailer/PHPMailerAutoload.php";
  32.  
  33. 					$mail = new PHPMailer();
  34. 					$mail->CharSet = "UTF-8";
  35. 					$mail->IsSMTP();
  36. 					$mail->SMTPAuth = true; 
  37.  
  38. 					$mail->SMTPSecure = 'ssl'; 
  39. 					$mail->Host = '***********';
  40. 					$mail->Port = 465;  
  41. 					$mail->Username = '***********';
  42. 					$mail->Password = '***********';   
  43.  
  44. 					$mail->IsHTML(true);
  45. 					$mail->From='***********';
  46. 					$mail->FromName='***********';
  47.  
  48. 					$mail->AddReplyTo('***********');
  49. 					$mail->Subject = 'Tytuł';
  50. 					$mail->AddEmbeddedImage('img/logo.png', 'logo');
  51. 					$mail->Body ="<center><img class=logo src=\"cid:logo\" width=250px height=60px width=20%> 
  52. 									<br/>Wprowadź $codeAlphabet aby się zalogować.</a><br />";
  53. 					$mail->AddAddress($email);		
  54. 				}
  55. 				if(!$mail->Send())
  56. 				{
  57. 					$_SESSION['e_error'] = '<div class="alert alert-danger">Błąd!</strong> Kod nie został wysłany, prosimy o wykonanie operacji w innym terminie!</div>';	
  58. 					header('Location: index.php');
  59. 					exit();
  60. 				}
  61. 				else
  62. 				{
  63. 					$_SESSION['logged'] = true;
  64. 					$_SESSION['id'] = $row['id'];
  65. 					$_SESSION['name'] = $row['name'];
  66. 					$_SESSION['email'] = $row['email'];
  67. 					$_SESSION['roles'] = $row['roles'];
  68.  
  69. 					unset($_SESSION['error']);
  70. 					$result->free_result();
  71.  
  72. 					switch($_SESSION['roles'])	
  73. 					{
  74. 						case "1":
  75. 						header('Location: admin/panel.php');
  76. 						break;
  77. 						exit();
  78.  
  79. 						case "0":
  80. 						header('Location: panel.php');
  81. 						break;
  82. 						exit();	
  83. 					}	
  84. 				}
  85. 			}
  86. 			else
  87. 			{
  88. 				$_SESSION['error'] = '<div class="error">Błędny login lub hasło!</div>';
  89. 				header('Location: index.php');
  90. 			}
  91. 		}	
  92. 		$connect->close();
  93. 	}
  94. ?>
[PHP] pobierz, plaintext
nospor
17.02.2021, 16:19:54
Cytat
Czy w ogóle ma sens bawienie się w dwu składnikowe logowanie...

No wlasnie juz wczoraj sie ciebie chcialem zapytac: a po grzyba ci to dwuskladnikowe logowanie biggrin.gif

Co do kodu:
jak widze takie kwiatki
$email = htmlentities($_POST['email'], ENT_QUOTES, "UTF-8");
od osoby, ktora juz pisze jakis czas, to nie wiem co mam myslec.... Po co robisz htmlentities przed wlozeniem do warunku w bazie? Po co ja sie pytam? Wiesz co robi ta funkcja? A wiesz co robi mysqli_real_escape_string?
Bo najwyrazniej nie wiesz. Jakbys wiedzial, to bys pierwszej nie uzywal wink.gif

A po drugie: skoro uzywasz mysqli to wez poczytaj o BINDowaniu i zapomnisz w ogole o takich cudach na kiju
inomi13
17.02.2021, 16:31:07 
[PHP] pobierz, plaintext 
  1. $email = htmlentities($_POST['email'], ENT_QUOTES, "UTF-8");
[PHP] pobierz, plaintext
oraz mysqli_real_escape_string- aby nie było SQL injection oraz pozbyć się html'ów. Oczywiście trochę jest to nie potrzebne skoro określiłem w inpucie że ma to być input type="email".
nospor
17.02.2021, 16:36:46
Jak juz pisalem htmlentities jest totalnie zbedne tutaj.
inomi13
17.02.2021, 16:39:50
Ok przekonaliście mnie że lepiej skupić się na popranym kodzie
viking
17.02.2021, 17:14:05
Cytat(inomi13 @ 17.02.2021, 16:31:07 ) *
skoro określiłem w inpucie że ma to być input type="email".

A jak sobie w twoim formie zmienię na text?
dublinka
17.02.2021, 17:16:13
Rejestracja z podanem kodu czy kliknieciem w link w majlu to rozumiem ale logowanie ?

Kiedys napisalem takie cos.

register, login i plik confirm gdzie sprawdzisz czy user istnieje, zmienisz w bazie jego status na "zarejestrowany" zamiast "tmp" i inne wg uznania.
inomi13
18.02.2021, 09:24:09
Uprościłem kod oraz dodałem bindowanie. Proszę o sprawdzenie czy teraz jest wszystko ok.

[PHP] pobierz, plaintext 
  1. <?php
  2. 	session_start();
  3. 	if ((!isset($_POST['email'])) || (!isset($_POST['pass'])))
  4. 	{
  5. 		header('Location: index.php');
  6. 		exit();
  7. 	}
  8.  
  9. 	require_once "connect.php";
  10. 	$connect = @new mysqli($host, $db_user, $db_password, $db_name);
  11.  
  12. 	if ($connect->connect_errno!=0)
  13. 	{
  14. 		$cod_error = $connect->connect_errno;
  15. 		$_SESSION['e_error'] = '<div class="alert alert-danger"><strong>Błąd '.$cod_error.'!</strong> Przepraszamy za niedogodności i prosimy o wykonanie operacji w innym terminie!</div>';	
  16. 		header('Location: index.php');
  17. 		exit();
  18. 	}
  19. 	else
  20. 	{
  21. 		$result = $connect->prepare("SELECT * FROM persons WHERE email=?");
  22.  
  23. 		$result -> bind_param('s', $_POST['email']); 
  24.  
  25. 		$result->execute(); 
  26. 		$result_bind = $result->get_result();	
  27.  
  28. 		$row = $result_bind->fetch_assoc();
  29. 		if (($result_bind->num_rows == 1) && (password_verify($_POST['pass'],$row['pass'])))
  30. 		{
  31. 			$_SESSION['logged'] = true;
  32. 			$_SESSION['id'] = $row['id'];
  33. 			$_SESSION['name'] = $row['name'];
  34. 			$_SESSION['email'] = $row['email'];
  35. 			$_SESSION['roles'] = $row['roles'];
  36.  
  37. 			unset($_SESSION['error']);
  38. 			$result->free_result();
  39.  
  40. 			switch($_SESSION['roles'])	
  41. 			{
  42. 				case "1":
  43. 				header('Location: admin/panel.php');
  44. 				break;
  45. 				exit();
  46.  
  47. 				case "0":
  48. 				header('Location: panel.php');
  49. 				break;
  50. 				exit();
  51. 			}
  52. 		}
  53. 		else
  54. 		{
  55. 			$_SESSION['error'] = '<div class="error">Błędny login lub hasło!</div>';
  56. 			header('Location: index.php');
  57. 		}
  58. 	$connect->close();
  59. 	}
  60. ?>
[PHP] pobierz, plaintext
viking
18.02.2021, 11:29:51
Teraz jeszcze dodaj https://www.php.net/manual/en/filter.filters.validate.php (FILTER_VALIDATE_EMAIL)
Zastanów się po co użytkownikowi systemu kod błędu mysql? Dzięki temu mógłbyś się pozbyć htmla z tego kodu.
Ten adres email jest jakiś unikalny w bazie? Poczytaj też o wyjątkach - na całe szczęście trwa obecnie dyskusja żeby były domyślnie włączone w mysqli.
inomi13
18.02.2021, 12:01:44
muszę robić walidacje adresu e-mail skoro wmam ustawione type inputa ?
[HTML] pobierz, plaintext 
  1. <input type="email" name="email" placeholder="Adres e-mail:" required />
[HTML] pobierz, plaintext

Wcześniej miałem ustawione logowanie za pomocą identyfikatora jednak stwierdziłem że lepiej będzie zrobić logowanie za pomocą adresu e-mail.
nospor
18.02.2021, 12:32:30
Uzytkownik moze bez najmniejszego problemu zmienic ten typ pola i wstawic tam co mu sie zywnie podoba.
Generalnie do logowania nie widze potrzeby fitrowania/walidacji. Ale do rejestracji juz obowiazkowo
dublinka
18.02.2021, 12:45:39
A najlepiej daj adres strony to bedziesz mial jak na dloni bledy
inomi13
18.02.2021, 13:05:46
faktycznie w przeglądarce podmieniłem type="email" na type="text"a w bazie zmieniłem login nie będący adresem e-mail i się zalogowałem facepalmxd.gif
W takim razie jednak trzeba zrobić (FILTER_VALIDATE_EMAIL)
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.