PHP.SU

Программирование на PHP, MySQL и другие веб-технологии

PHP.SU Портал

Главная

Помощь

Поиск

Поиск Яндекс Вакансии

Пользователи

Здравствуйте, Гость

( Вход · Регистрация · Правила форума )

Забыли пароль?

Авторизация PHP

Форумы портала PHP.SU » PHP » Программирование на PHP (Модераторы: valenok, OrmaJever, Саныч)

Страниц (1): [1]

Без описания

Поиск в теме | Версия для печати

DNGX	Отправлено: 15 Марта, 2012 - 18:55:29
Новичок Покинул форум Сообщений всего: 16 Дата рег-ции: Март 2012 Помог: 0 раз(а)	Здравствуйте! Написал скрипт авторизации пользователей, скажите пожалуйста нет ли уязвимостей в коде? Безопасный ли сам способ авторизации? Если нет, как его могут взломать? PHP: скопировать код в буфер обмена <?PHP session_name('user_id'); session_start(); include 'head.php'; $login=mysql_real_escape_string(htmlspecialchars(trim($_POST['login']))); $pass=mysql_real_escape_string(htmlspecialchars(trim($_POST['pass']))); $data = mysql_fetch_array(mysql_query("SELECT * FROM `users` WHERE `login` = '".$login."';")); if (empty($login)){ echo 'Вы не ввели логин!<br/>'; include 'foot.php'; exit; } if (empty($pass)){ echo 'Вы не ввели пароль!<br/>'; include 'foot.php'; exit; } if($pass == $data['pass']) { $_SESSION['user_id'] = $data['id']; echo 'Ура! Вы авторизированы!'; } else { echo 'Введены не верные данные!<br/>'; exit; } //Кто авторизован, а кто нет? if (isset($_SESSION['user_id'])) { echo 'Личный кабинет!'; } else { die('<form action="login.php" method="post"> <table> <tr> <td>Логин:</td> <td><input type="text" name="login" /></td> </tr> <tr> <td>Пароль:</td> <td><input type="password" name="pass" /></td> </tr> <tr> <td></td> <td><input type="submit" value="Войти" /></td> </tr> </table> </form>'); } ?> (Отредактировано автором: 15 Марта, 2012 - 18:56:47)

Okula	Отправлено: 15 Марта, 2012 - 19:00:23
Участник Покинул форум Сообщений всего: 1389 Дата рег-ции: Окт. 2010 Помог: 42 раз(а)	DNGX, небезопасный. К тому же скрипт выведет ошибки Undefined

dzubchik	Отправлено: 15 Марта, 2012 - 20:21:53
Гость Покинул форум Сообщений всего: 97 Дата рег-ции: Июль 2010 Помог: 1 раз(а)	DNGX,пароль нужно хотя бы хешировать. Используйте md5 или sha. Ну для более надёжной защиты, ко всему этому можна добавлять соль.

DNGX	Отправлено: 17 Марта, 2012 - 06:31:23
Новичок Покинул форум Сообщений всего: 16 Дата рег-ции: Март 2012 Помог: 0 раз(а)	PHP: скопировать код в буфер обмена <?PHP session_name('user_id'); session_start(); include 'head.php'; $login=mysql_real_escape_string(htmlspecialchars(trim($_POST['login']))); $pass=md5($_POST['pass']); $data = mysql_fetch_array(mysql_query("SELECT * FROM `users` WHERE `login` = '".$login."';")); if (empty($login)){ echo 'Вы не ввели логин!<br/>'; include 'foot.php'; exit; } if (empty($pass)){ echo 'Вы не ввели пароль!<br/>'; include 'foot.php'; exit; } if($pass == $data['pass']) { $_SESSION['user_id'] = $data['id']; echo 'Ура! Вы авторизированы!'; } else { echo 'Введены не верные данные!<br/>'; exit; } //Кто авторизован, а кто нет? if (isset($_SESSION['user_id'])) { echo 'Личный кабинет!'; } else { die('<form action="login.php" method="post"> <table> <tr> <td>Логин:</td> <td><input type="text" name="login" /></td> </tr> <tr> <td>Пароль:</td> <td><input type="password" name="pass" /></td> </tr> <tr> <td></td> <td><input type="submit" value="Войти" /></td> </tr> </table> </form>'); } ?> Регистрация пользователя: $login=mysql_real_escape_string(htmlspecialchars(trim($_POST['login']))); $pass=md5($_POST['pass']); mysql_query("INSERT INTO `users` SET `login`='$login', `pass`='$pass' ;") or die(mysql_error()); echo 'Поздравляем! Вы успешно зарегистрированы.<br/> Ваш логин: <b>'.$login.'</b><br/> Ваш пароль: <b>'.$pass.'</b><br/> Для надежности, Ваши данные высланы Вам на E-mail.<br/>'; Okula, о какой ошибке вы говорите? У меня вроде все нормально работает.. Правильно ли я сделал защиту? Нужно ли фильтровать md5? Возможно ли как-то сделать чтобы когда выводится текст об успешной регистрации, в строке "Ваш пароль:" выводился пароль в нормальном виде, а не в md5? Заранее спасибо за ответы. (Отредактировано автором: 17 Марта, 2012 - 06:36:21)

DNGX	Отправлено: 17 Марта, 2012 - 10:03:32
Новичок Покинул форум Сообщений всего: 16 Дата рег-ции: Март 2012 Помог: 0 раз(а)	И еще такой вопрос, session_name('user_id'); и session_start(); должны на всех страницах быть прописаны?

PATCH	Отправлено: 22 Марта, 2012 - 16:55:15
Частый посетитель Покинул форум Сообщений всего: 924 Дата рег-ции: Апр. 2011 Помог: 22 раз(а)	везде где у вас должен лазить авторизованный пользователь 1) должна запускатся сессия session_start(); 2) проверятся условие авторизован ли пользователь (обычно проверка существование сессии)

Hidalgo	Отправлено: 22 Марта, 2012 - 17:09:42
Частый гость Покинул форум Сообщений всего: 245 Дата рег-ции: Февр. 2012 Откуда: Димитровград Помог: 1 раз(а)	PHP: скопировать код в буфер обмена if (empty($login)){ echo 'Вы не ввели логин!<br/>'; include 'foot.php'; exit; } if (empty($pass)){ echo 'Вы не ввели пароль!<br/>'; include 'foot.php'; exit; } Зачем куча таких проверок, если все делается проще? CODE (html): скопировать код в буфер обмена <input required name="login" value="" type="text"> required тут ключевое слово (Отредактировано автором: 22 Марта, 2012 - 17:10:29)

DelphinPRO	Отправлено: 22 Марта, 2012 - 17:55:34
Активный участник Покинул форум Сообщений всего: 7187 Дата рег-ции: Февр. 2012 Помог: 353 раз(а)	Hidalgo пишет: Зачем куча таких проверок, если все делается проще? CODE (html): <input required name="login" value="" type="text"> required тут ключевое слово Клиентских проверок недостаточно. Все данные обязательно нужно проверять на сервере. ----- Чем больше узнаю, тем больше я не знаю.

Мелкий	Отправлено: 22 Марта, 2012 - 18:17:23
Активный участник Покинул форум Сообщений всего: 11926 Дата рег-ции: Июль 2009 Откуда: Россия, Санкт-Петербург Помог: 618 раз(а)	Hidalgo пишет: Зачем куча таких проверок, если все делается проще? Затем, что в идеале проверок должно быть значительно больше: 0) полный список валидации на сервере 1) желательно как можно более полная валидация на клиенте 2) если п.2 сделан средствами html5 - ещё и дублирующая валидация на JS для браузеров, не умеющих html5. ----- PostgreSQL DBA

Hidalgo	Отправлено: 22 Марта, 2012 - 18:44:56
Частый гость Покинул форум Сообщений всего: 245 Дата рег-ции: Февр. 2012 Откуда: Димитровград Помог: 1 раз(а)	DelphinPRO пишет: Клиентских проверок недостаточно. Все данные обязательно нужно проверять на сервере. Так никто и не спорит что данные нужно проверять на сервере. Конечно приводить к определенному типу, или с помощью регулярок на валидность введенных данных обязательно нужно. Просто какой смысл проверять на пхп ввел пользователь логин или нет, если это можно сделать на html, а на пхп просто проверить длину и наличие запрещенных символов (Добавление) хотя был неправ: ослик игнорирует данный параметр. Беру свои слова обратно. (Отредактировано автором: 22 Марта, 2012 - 18:46:04)

Поиск в теме | Версия для печати

Страниц (1): [1]

Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)

« Программирование на PHP »

Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.