Форумы портала PHP.SU :: Версия для печати

Страниц (1): [1]

1. jaroslav.tavgen - 02 Января, 2015 - 20:10:46 - перейти к сообщению

Понадобилось решить тривиальную задачу: сделать так, чтобы пользователь получил доступ к странице на сайте только если введёт правильные логин и пароль.

Посмотрел в Google, как сделать этот процесс наиболее безопасным. И ахнул: Google мне выдал вот такую бандуру: http://www[dot]wikihow[dot]com/Create-a-[dot][dot][dot]in-PHP-and-MySQL (первый результат по запросу в Google "PHP secure login")

У меня вопрос: действительно ли для безопасной авторизации нужно делать ВСЁ ЭТО? Или можно обойтись чем-то попроще, и безопасность всё равно будет соблюдена?

(при этом их вариант не работает: редирект на нужную страницу делается с помощью header, который не передаёт сессии, а проверка на то, залогинился ли пользователь, делается именно по сессии).

2. kotyara1979 - 02 Января, 2015 - 20:39:19 - перейти к сообщению

Цитата:

при этом их вариант не работает: редирект на нужную страницу делается с помощью header, который не передаёт сессии, а проверка на то, залогинился ли пользователь, делается именно по сессии

Переадресация через header и не должна передавать сессию. Сессия вообще не передается никак. Это сгенерённая кука в браузере. И при старте сессии пхп просто проверяет есть такая запись и соответствует ли она существующим записям на сервере.

А вообще безопасность - это та вещь, где не экономят. Вопрос только в целесообразности накручивания механизмов: насколько "вкусные" вещи лежат за паролем, сколько времени люди захотят потратить на взлом, сколько времени вам понадобится на восстановление сломанного.

Короче каждый решает сам.

3. jaroslav.tavgen - 02 Января, 2015 - 21:00:26 - перейти к сообщению

kotyara1979 пишет:

В их варианте после того, как пользователь ввёл правильные логин и пароль, делается переадресация:

PHP:
скопировать код в буфер обмена

   if (login($email, $password, $mysqli) == true) {
        // Login success 
        header('Location: ../protected_page.php');

А страница protected_page.php вызывает функцию из другого файла, в которой делается следующая проверка:

PHP:
скопировать код в буфер обмена

    if (isset($_SESSION['user_id'], 
                        $_SESSION['username'], 
                        $_SESSION['login_string'])) {

Переменной $_SESSION при этом не существует (проверял с помощью echo get_defined_vars()), поэтому страница всегда выдаёт надпись "You are not logged in".

kotyara1979 пишет:

А вообще безопасность - это та вещь, где не экономят. Вопрос только в целесообразности накручивания механизмов: насколько "вкусные" вещи лежат за паролем, сколько времени люди захотят потратить на взлом, сколько времени вам понадобится на восстановление сломанного.

Короче каждый решает сам.

Я ничего не имею против максимального обеспечения безопасности. Проблема в том, что я не понимаю, что должен делать тот код, а если его просто тупо скопировать (что я и сделал) - он не работает... Ну вот проверяет этот код наличие superglobal $_SESSION, которой не существует независимо от того, залогинен ты или нет - и как мне понять, почему этот скрипт не работает так, как должен?

include_once 'db_connect.php';

include_once 'functions.php';

sec_session_start(); // Our custom secure way of starting a PHP session.

if (isset($_POST['email'], $_POST['p'])) {

$email = $_POST['email'];

$password = $_POST['p']; // The hashed password.

if (login($email, $password, $mysqli) == true) {

header('Location: ../protected_page.php');

header('Location: ../login.php?error=1');

// The correct POST variables were not sent to this page.

echo 'Invalid Request';

function login($email, $password, $mysqli) {

// Using prepared statements means that SQL injection is not possible.

if ($stmt = $mysqli->prepare("SELECT id, username, password, salt

$stmt->bind_param('s', $email); // Bind "$email" to parameter.

$stmt->execute(); // Execute the prepared query.

$stmt->store_result();

// get variables from result.

$stmt->bind_result($user_id, $username, $db_password, $salt);

// hash the password with the unique salt.

$password = hash('sha512', $password . $salt);

if ($stmt->num_rows == 1) {

// If the user exists we check if the account is locked

// from too many login attempts

if (checkbrute($user_id, $mysqli) == true) {

// Account is locked

// Send an email to user saying their account is locked

// Check if the password in the database matches

// the password the user submitted.

if ($db_password == $password) {

// Password is correct!

// Get the user-agent string of the user.

$user_browser = $_SERVER['HTTP_USER_AGENT'];

// XSS protection as we might print this value

$user_id = preg_replace("/[^0-9]+/", "", $user_id);

$_SESSION['user_id'] = $user_id;

// XSS protection as we might print this value

$username = preg_replace("/[^a-zA-Z0-9_\-]+/",

$_SESSION['username'] = $username;

$_SESSION['login_string'] = hash('sha512',

$password . $user_browser);

// Login successful.

// Password is not correct

// We record this attempt in the database

$mysqli->query("INSERT INTO login_attempts(user_id, time)

VALUES ('$user_id', '$now')");

function sec_session_start() {

$session_name = 'sec_session_id'; // Set a custom session name

// This stops JavaScript being able to access the session id.

// Forces sessions to only use cookies.

if (ini_set('session.use_only_cookies', 1) === FALSE) {

header("Location: ../error.php?err=Could not initiate a safe session (ini_set)");

// Gets current cookies params.

$cookieParams = session_get_cookie_params();

session_set_cookie_params($cookieParams["lifetime"],

$cookieParams["path"],

$cookieParams["domain"],

// Sets the session name to the one set above.

session_name($session_name);

session_start(); // Start the PHP session

session_regenerate_id(); // regenerated the session, delete the old one.

include_once 'includes/db_connect.php';

include_once 'includes/functions.php';

sec_session_start();

<title>Secure Login: Protected Page</title>

<?PHP if (login_check($mysqli) == true) : ?>

Welcome <?PHP echo htmlentities($_SESSION['username']); ?>!

This is an example protected page. To access this page, users

the user, so pages will be able to determine the type of user

must be logged in. At some stage, we'll also check the role of

authorised to access the page.

Return to <a href="index.php">login page</a>

You are not authorized to access this page. Please <a href="index.php">login</a>.

function login_check($mysqli) {

// Check if all session variables are set

if (isset($_SESSION['user_id'],

$_SESSION['username'],

$_SESSION['login_string'])) {

$user_id = $_SESSION['user_id'];

$login_string = $_SESSION['login_string'];

$username = $_SESSION['username'];

// Get the user-agent string of the user.

$user_browser = $_SERVER['HTTP_USER_AGENT'];

if ($stmt = $mysqli->prepare("SELECT password

WHERE id = ? LIMIT 1")) {

// Bind "$user_id" to parameter.

$stmt->bind_param('i', $user_id);

$stmt->execute(); // Execute the prepared query.

$stmt->store_result();

if ($stmt->num_rows == 1) {

// If the user exists get variables from result.

$stmt->bind_result($password);

$login_check = hash('sha512', $password . $user_browser);

if ($login_check == $login_string) {