[Php] Bezpiecznie logowanie

[Markuz]

Witam

W jaki sposób zrobić bezpieczne logowanie? oto sposób na logowanie gdzie jesli hasla sie zgadzaja itp. to

 $_SESSION['zalogowany'] = true;

i

 $_SESSION['nick'] = 'jakis tam nick';

Ale przez takie cos mozna wywolac na innej stronce chyba sersje zalogowany = true i wtedy mamy dostep do stronki tak?

Macie pomysły na bezpieczniejsze logowanie? ;)

[Boro Casso]

ale sesje zapisywane są na serwerze

[Markuz]

a nie w przegladarce?

[Tymon]

ID sesji w przeglądarce jako cookie ewentualnie w linku, cała sesja na serwerze.

[Markuz]

a to luz :)

A jest jakieś niebezpieczeństwo w tym kodzie logowania:

<?php
session_start();
include('header.php');
// połączenie się lokalnym serwerem bazy MySQL
$sql_conn = mysql_connect('localhost', 'root', '')
// w przypadku niepowodzenia połączenia zakończ aplikację
or die('Nie mogłem połaczyć się z bazą danych');

// wybieramy bazę danych
mysql_select_db('ns');

if(isset($_SESSION['zalogowany'])) {
echo "Witam, ".$_SESSION['login']; 
}else{

if(isset($_POST['wyslij'])) {


   if(mysql_num_rows(mysql_query("SELECT login, haslo
   FROM test_uzytkownicy WHERE login = '".$_POST['login']."' 
   && haslo = '".$_POST['haslo']."' ")) > 0) {


       if(mysql_num_rows(mysql_query("SELECT id FROM test_uzytkownicy
       WHERE login = '".$_POST['login']."' 
       && haslo = '".$_POST['haslo']."' ")) > 0 ) {


           $_SESSION['zalogowany'] = true;
           $_SESSION['login'] = $_POST['login'];
           $_SESSION['haslo'] = $_POST['haslo'];
           echo "Jesteś zalogowany.";


       } else { 

   echo "Złe hasło, proszę spróbować ponownie";
}
} else { 
   echo "Hasło i login nie pasuja do sebie badz nie ma takiego użytkownika!";
}
} else { 

?>
<form method='POST' action='logowanie.php'>
<b>nazwa uzytkownika:</b> <input type='text' name='login'><br>
<b>haslo:</b> <input type='password' name='haslo'><br>
<input type='submit' value='Wyślij' name='wyslij'>
</form>    

<?php
}
}
?>

 

Oczwyscie oprócz danych do bazy :P

[gnysek]

ta, a jak podasz za login i hasło "xxx OR 1=1" ?

[PRT]

O zabezpieczeniach dopiero się uczę, ale może się moja informacja przyda. :)

 

Warto zabezpieczać się przed

tzw. SQL Injection w taki sposób:

 

do pobieranych danych z $_POST dodaj:

do liczb intval(zmiena);

do tekstów mysql_real_escape_string(zmienna);

[Tymon]

Ja po prostu robię:

sprintf( "SELECT * FORM users WHERE MD5( name ) = '%s' AND MD5( pass ) = '%s'", md5( $_POST['name'] ), md5( $_POST['pass'] ) );

Wtedy jest zabezpieczone jak trzeba, a użytkownik może sobie wsadzić w nazwę co chce.

 

A do filtrowania inputów proponuję napisać sobie prostą klasę. ;)

[gnysek]

A to nie będzie obliczać MD5 dla każdego kolejnego rekordu? To może trochę długo potrwać xD

[Piczer]

Tymon, gz pomysłowości. Jak wyświetlisz listę użytkowników? :)

 

@Topic: Polecam dodatkowo grupowanie, np.

$_SESSION['UserInfo'] = array( 'Login' => 'Markuz', 'Password' => 'jakassygnaturamd5blablabla', 'innedanetwojegokonta' => 'iich wartosci' );

[Kofel]

Piczer, to Tobie gz, widzę że dokładnie przeanalizowałeś to co dał Tymon. >.>

[Tymon]

SELECT * FROM users

?

 

Piczer, radzę ściągnąć dokumentację MySQLa i się douczyć przed wypowiadaniem się na ten temat. ;)

 

Kofel, mój obrońco. :*

[gnysek]

zauważ, że on pobrał w MD5, ale rekordy wcale nie są tak zapisane :) Chociaż hasło akurat powinno być :P

[Tymon]

Who knows, podałem najbardziej łopatologiczne rozwiązanie. Można generować klucz z nazwy użytkownika + hasła i wtedy szukać według klucza. Nie widzę problemów.

[gnysek]

Mogą się powtórzyć. Mało prawdopodobne, ale mogą :) W całym ciągu masz 32 znaki 0 -F, tymczasem w ASCII masz 255, a w UTF jeszcze wiecej - wiec moze wyjśc z kilku różnych wyrazów ten sam ciąg. Jeszcze takiego ciągu nie znalazłem, ale podobno są.

[Tymon]

Dlatego dosala się uniqid. ;)

Albo dodaje się taki prefix.

 

Jest tyle rozwiązań co by to udziwniły... ło ho ho.

[Piczer]

Piczer, radzę ściągnąć dokumentację MySQLa i się douczyć przed wypowiadaniem się na ten temat. ;)

Nie sądzę aby w tym był problem. Za mało się wczytuję w kod - mój błąd :) Myślałem, że to INSERT i... nieważne

 

Właściwie przy INSERcie nie zastosujesz tego tricku. Nie należy on do najszybszych i nie zabezpiecza przed XSS.

[gnysek]

nie, ale możesz MD5 dać najpierw :)

 

$xxx = md5($_POST['nick']);

$sql="INSERT INTO dupa VALUES($xxx);";

 

ciężko uzyskać teraz błąd :D

[Tymon]

Od tego jest filtrowanie danych wejściowych mój drogi, a hasła i loginu użytkownika raczej nie powinno się filtrować choćby dlatego by nie ograniczać użytkownika w dobrze znaków - czyli zabezpieczeń użytkownika. :)

[Piczer]

Ale przy SELECT też można filtrować, a skrypt wykona się szybciej przy znacznie większej ilości pól.

[Tymon]

Tak, można i zabezpieczy przed XSS, ale czy to zabezpieczy przed wstrzykiwaniem kodu? :)

[Piczer]

Sądzę, że tak.

[Tymon]

To podaj przykład zapytania wybierającego użytkownika o jakimś tam ID. :)

[Piczer]

'SELECT * FROM `users` WHERE `id` = ' .(int)$_GET['id']

[pablo1517]

Tymon, gz pomysłowości. Jak wyświetlisz listę użytkowników? :)

 

@Topic: Polecam dodatkowo grupowanie, np.

$_SESSION['UserInfo'] = array( 'Login' => 'Markuz', 'Password' => 'jakassygnaturamd5blablabla', 'innedanetwojegokonta' => 'iich wartosci' );

 

Wiem, że troche necropostning, ale jak się odwołać teraz np. do loginu?

Musze koniecznie robić

$UserInfo = $_SESSION['UserInfo'];
return $UserInfo['Login']

??

[gnysek]

return $_SESSION['UserInfo']; ??