PHP.SU

Программирование на PHP, MySQL и другие веб-технологии

PHP.SU Портал

Главная

Помощь

Поиск

Поиск Яндекс Вакансии

Пользователи

Здравствуйте, Гость

( Вход · Регистрация · Правила форума )

Забыли пароль?

Авторизация на сайте

Форумы портала PHP.SU » PHP » Программирование на PHP (Модераторы: valenok, OrmaJever, Саныч)

Страниц (1): [1]

Без описания

Поиск в теме | Версия для печати

-=1100=-	Отправлено: 29 Сентября, 2009 - 20:49:04
Частый гость Покинул форум Сообщений всего: 156 Дата рег-ции: Май 2007 Откуда: Город Святого Петра Помог: 0 раз(а) [+]	Авторизация PHP: скопировать код в буфер обмена // Если поля формы авторизации пустые то EXIT! if(empty($_POST['loginuser']) && empty($_POST['passuser']) ){ echo("Error!"); exit();} // Если НЕ пустые, то.... //Преобразует символы $logi=htmlspecialchars($_POST['loginuser']); $logi=trim($logi); // убираем пробелы $logi=strtolower($logi); // делаем строку нижнего регистра //Преобразует символы $pass=htmlspecialchars($_POST['passuser']); $pass=trim($pass); // убираем пробелы include "inc/bd.php"; // Подкл. БД include "inc/generator.php"; // генерируем строку из 50 символов // узнаем, нет ли такого логина в БД $access=mysql_query("SELECT * FROM `dostup` WHERE `login` LIKE '$logi' "); $access=mysql_fetch_array($access); //$access[2] - Пороль из БД //$access[1] - Логин из БД // если пороль и логин TRUE то идем дальше if($access[2]===md5(md5($pass)) && $access[1]===$logi){ // Разбиваем 50 -ти символьную строку напополам (по 25) $gen1=substr($gener,0,25); $gen2=substr($gener,25); // записываем целую 50-ти строку в сессию $_SESSION['keysession']=$gener; // пишем обе части длинной строки в БД mysql_query("INSERT INTO sessions VALUES('$gen1','$gen2'')"); // адресуем юзера ... echo("<script type='text/javascript'>window.location.href='users/'</script>"); } else{ echo("Ошибка ввода Логина или Пароля");} } файл access.php который includ`им на каждую страницу PHP: скопировать код в буфер обмена session_start(); // Если сессия пустая то шлем на авторизацию if(empty($_SESSION['keysession']) ){ echo("<script type='text/javascript'>window.location.href='http://авторизация'</script>"); exit();} //Вытаскиваем наше 50-ти символьное число в переменную $ses=$_SESSION['keysession']; // Разбиваем ее напополам $ses1=substr($ses,0,25); $ses2=substr($ses,25); include "bd.php"; // полкл. БД // Ищем в БД первый кусок 50-ти символьной строки строки $keyses=mysql_query("SELECT * FROM sessions WHERE `ID` LIKE '$ses1'"); $keyses=mysql_fetch_array($keyses); if(!empty($keyses[0])){ // Если нашли ... //Вытаскиваем оба куска из БД и сравниваем их с сессией // Если они не равны, то переадресация к авторизации if($keyses[0].$keyses[1]!=$_SESSION['keysession']) { echo("<script type='text/javascript'>window.location.href='http://авторизация'</script>"); exit();}} else{ // Если в БД пусто то переадрисация echo("<script type='text/javascript'>window.location.href='http://авторизация'</script>"); exit();} Если хватило терпения посмотреть код полностью, напишите ваше мнение "+" и "-" Какие будут предложения. Что можно дополнить, что убрать ....? (Отредактировано автором: 29 Сентября, 2009 - 20:50:50) ----- INSPIRON \|6400

Maksim337	Отправлено: 29 Сентября, 2009 - 21:21:01
Частый гость Покинул форум Сообщений всего: 255 Дата рег-ции: Июнь 2009 Помог: 0 раз(а)	PHP: скопировать код в буфер обмена <?PHP if(empty($_POST['loginuser']) && empty($_POST['passuser']) ){ exit('Error!');} ?> мелочь а приятно (Добавление) Кстати а как насчет проверки символов?Если я рус букв введу?

-=1100=-	Отправлено: 29 Сентября, 2009 - 21:30:08
Частый гость Покинул форум Сообщений всего: 156 Дата рег-ции: Май 2007 Откуда: Город Святого Петра Помог: 0 раз(а) [+]	Maksim337 пишет: Кстати а как насчет проверки символов?Если я рус букв введу Об этом я не подумал. Ну вообще можно на JavaScript сделать. При вводе. А вообще из соображения безопасности как? ----- INSPIRON \|6400

Nikola	Отправлено: 30 Сентября, 2009 - 09:17:11
Новичок Покинул форум Сообщений всего: 48 Дата рег-ции: Авг. 2009 Откуда: Одесса, Украина Помог: 0 раз(а)	Можно еще проверять количество не удавшихся авторизаций и в случаи 3(?) попыток, перенаправлять пользователя на другую страницу, либо делать задержку в несколько секунд. Это усложнит брутфорс акаунтов. (Отредактировано автором: 30 Сентября, 2009 - 09:19:30)

Phantik	Отправлено: 30 Сентября, 2009 - 10:23:07
Посетитель Покинул форум Сообщений всего: 305 Дата рег-ции: Июнь 2009 Помог: 0 раз(а)	Возникло несколько вопросов\предложений... 1) Почему в SQL запросах вместо = ставишь LIKE? 2) Зачем пароль хэшировать 2 раза? 3) Не совсем понял с какой целью необходимо хранить в базе gen1 и gen2? А в каждой странице выбирать их из базы, складывать и сверять с сессионной переменной? Это должно спасти в случае кражи кукисов? Или для чего это нужно? 4) Параметры передаваемые в SQL запрос вроде как необходимо экранировать mysql_real_escape_string. 5) Вроде бы красивее было переадресацию делать заголовками. header("Location: somepage.php"); Или у JS-а асть каккие-то преимущества?

JustUserR	Отправлено: 30 Сентября, 2009 - 18:13:27
Активный участник Покинул форум Сообщений всего: 8715 Дата рег-ции: Июнь 2009 Помог: 17 раз(а)	Phantik пишет: Или у JS-а асть каккие-то преимущества? Есть преимущества особенно когда архитектура PHP-скрипта неправильная и он уже выводит до заголовков какуюлибо информацию ----- Сделать можно все что угодно - нужно только старание, терпение и хороший поисковик Безлимитный web-хостинг от 15 рублей за 40 МБ дискового пространства - http://ihost[dot]oks71[dot]ru/

-=1100=-	Отправлено: 30 Сентября, 2009 - 19:42:31
Частый гость Покинул форум Сообщений всего: 156 Дата рег-ции: Май 2007 Откуда: Город Святого Петра Помог: 0 раз(а) [+]	Phantik пишет: 2) Зачем пароль хэшировать 2 раза? Это параноидальное )) Phantik пишет: Почему в SQL запросах вместо = ставишь LIKE? Мне казалась что LIKE это для VARCHAR, а = для INT Phantik пишет: Не совсем понял с какой целью необходимо хранить в базе gen1 и gen2? А в каждой странице выбирать их из базы, складывать и сверять с сессионной переменной? Это должно спасти в случае кражи кукисов? Или для чего это нужно? Ну это для пущей безопасности. А если использовать ip то еще " + " в безопасности. PHP: скопировать код в буфер обмена include "inc/generator.php"; // строка из 50 символов include "inc/gen.php"; // строка из 5 символов $ipusera=getenv("REMOTE_ADDR").$hvost; // ip юзера + 5 символьная строка $access=mysql_query("SELECT * FROM .`dostup` WHERE `login`='$logi'"); $access=mysql_fetch_array($access); if($access[2]===md5(md5($passs)) && $access[1]===$logi){ $gen1=substr($gener,0,25); // разбиваем на 25 $gen2=substr($gener,25); // разбиваем на 25 $gen2=strrev($gen2); // переворачиваем 2-ую часть "длинной" строку $_SESSION['keysession']=$gen2; // записываем вторую часть длинной строки в сессию $_SESSION['hvost']=$hvost; // 5 символьный "хвостик" тоже в сессию // записываем в БД // первый кусок от длинной строки // саму 50-ти символьную строку mysql_query("INSERT INTO sessions VALUES('$gen1','$gener','$ipusera')"); и на каждой странице include`м PHP: скопировать код в буфер обмена session_start(); $exit="<script type='text/javascript'>window.location.href='http://отсылаем'</script>"; \\ берем ip usera + "хвост". $ipusera=getenv("REMOTE_ADDR").$_SESSION['hvost']; $ses2=$_SESSION['keysession']; include "bd.php"; \\ Ищем в БД ip usera + 5 символьный "хвост" $keyses=mysql_query("SELECT * FROM sessions WHERE `ipusera` LIKE '$ipusera'"); $keyses=mysql_fetch_array($keyses); if(!empty($keyses[0])){ // Если нашел то переворачиваем строку $ses2 в исходное положение $ses2=strrev($ses2); // берем первый кусок кусок ( 25 сим.) + второй кусок (25 сим) и сравниваем с 50 символами if($keyses[0].$ses2!=$keyses[1]) { exit($exit);}} else{ exit($exit);} Если ip другой то ошибка, + "хвостик" делает его уникальным. ----- INSPIRON \|6400

Phantik	Отправлено: 30 Сентября, 2009 - 21:18:02
Посетитель Покинул форум Сообщений всего: 305 Дата рег-ции: Июнь 2009 Помог: 0 раз(а)	Я считаю, что запись в базу всевозможных случайных строк, или IP адресов, не дает никаких преимуществ. Хотя я конечно могу и ошибаться. Но я долго пытался понять от чего такие навароты могут защитить. Нашел только один гипотетический вариант, когда у тебя крадут куки, перетаскивают их каким-то образом к себе на компьютер(а в браузерах кроме IE это довольно - таки не тривиальная задача) и, до истечения срока сессии(а это что-то около 20 минут по дефолтовым настройкам) и уже со своего браузера с твоими кукисами заходят на твой аккаунт. Вот в этом случае запись IP в базу может препятствовать входу. Зато такой метод увеличивает загрузку базы. Это ведь каждый раз, для каждого пользователя, при каждом переходе на секретную страницу выполняется дополнительный запрос к базе (Отредактировано автором: 30 Сентября, 2009 - 21:24:42)

EuGen	Отправлено: 30 Сентября, 2009 - 21:54:01
Профессионал Покинул форум Сообщений всего: 9095 Дата рег-ции: Июнь 2007 Откуда: Berlin Помог: 707 раз(а)	Phantik пишет: а в браузерах кроме IE это довольно - таки не тривиальная задача ну так подавляющее большинство и используют его. Причем еще дырявое 6-е. Phantik пишет: и, до истечения срока сессии Ну так 20 минут - вечность для такой операции. ----- Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.

-=1100=-	Отправлено: 01 Октября, 2009 - 07:25:27
Частый гость Покинул форум Сообщений всего: 156 Дата рег-ции: Май 2007 Откуда: Город Святого Петра Помог: 0 раз(а) [+]	Phantik пишет: Зато такой метод увеличивает загрузку базы. Это ведь каждый раз, для каждого пользователя, при каждом переходе на секретную страницу выполняется дополнительный запрос к базе Тут я полностью согласен. Просто так более безопаснее. мне так кажется ----- INSPIRON \|6400

EuGen	Отправлено: 01 Октября, 2009 - 14:00:15
Профессионал Покинул форум Сообщений всего: 9095 Дата рег-ции: Июнь 2007 Откуда: Berlin Помог: 707 раз(а)	Phantik пишет: Зато такой метод увеличивает загрузку базы. Это ведь каждый раз, для каждого пользователя, при каждом переходе на секретную страницу выполняется дополнительный запрос к базе При правильной организации не загрузит. Все зависит от целей. ----- Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.

Поиск в теме | Версия для печати

Страниц (1): [1]

Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)

« Программирование на PHP »

Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.