php - tjek min kode. - Udvikleren.dk - Programmering, webdesign og grafik

Tags: php

<< < 1 2 > >>

Bruger #11875 @ 26.07.07 02:05

Hej alle sammen, jeg er igang med at teste mine skills indenfor php

Så jeg laver en masse scripts og ser hvor gode de bliver

Jeg har lavet et login script men er usikker på sikkerheden i det. Jeg har læst mange tutorials om login scripts. så hvis i ser noget som ligner noget i har set før, er det nok der jeg har det fra. (har ikke copy pastet noget, læst for lang tid siden og lavet nu

) så vær venlig ikke at kopiere mit script. (har fjernet noget i det, fordi der er lidt sikkerhed i det, men vil ikke have alle skal kunne se min "fejl" som er der.

--------------------------------------
checklogin.php

Kode

<?php
include "db_connect.php";


$myusername=$_POST['myusername'];
$mypassword=$_POST['mypassword'];

$sql="SELECT * FROM $tbl_name WHERE username='$myusername' and password='$mypassword'";
$result=mysql_query($sql);


$count=mysql_num_rows($result);


if($count==1){

session_register("myusername");
session_register("mypassword");
header("location: login_success.php");
}
else {
echo "Wrong Username or Password";
}
?>

------------------------
Add user.

Kode

<?php
include "db_connect.php";
$username = $_POST['username'];
$password = $_POST['password'];
$password2 = $_POST['password1'];
$first = $_POST['fornavn'];
$last =  $_POST['efternavn'];
$email = $_POST['email'];

if ($password2 != $password) {
echo "<b>Fejl, ikke samme password.</b>";
include "signup.php"; 
exit;
}

if ($first == '' ) {
echo "Skriv venligst fornavn.";
include "signup.php";
exit;
}

if ($email == '') {
echo "skriv venligst e-mail";
include "signup.php";
exit;
}

$checkUsername = mysql_query("select username from F_user where username = '$username'") or die (mysql_error());
$number = mysql_num_rows($checkUsername);
if ($number > 0) {
echo  'Desværre brugernavnet er optaget';
} else {

mysql_query("insert into F_user (id, username, password) values ('', '$username', '$password')")
 or die(mysql_error());
 echo "Brugernavn $username er oprettet!";
 ?>
 <a href="index.php">Klik her for at logge ind</a>
  <?php
}

?>

er der noget som i kan se ***OMG SIKKERHEDS FEJL** ?

giver kun 20 point, fordi i er så hardcore så i kan se fejl hurtigt, og det er et lille script

EDIT: kan man få SSL sikkerhed på login og brugeropret? for senere skal der et betalings system (slags netbank) på siden som kræver sikkerhed

Indlæg senest redigeret d. 26.07.2007 02:13 af Bruger #11875

16 svar postet i denne tråd vises herunder
3 indlæg har modtaget i alt 3 karma

Sorter efter stemmer Sorter efter dato

Bruger #4683 @ 26.07.07 08:09

183

Hej alle sammen, jeg er igang med at teste mine skills indenfor php
Så jeg laver en masse scripts og ser hvor gode de bliver
Jeg har lavet et login script men er usikker på sikkerheden i det. Jeg har læst mange tutorials om login scripts. så hvis i ser noget som ligner noget i har set før, er det nok der jeg har det fra. (har ikke copy pastet noget, læst for lang tid siden og lavet nu ) så vær venlig ikke at kopiere mit script. (har fjernet noget i det, fordi der er lidt sikkerhed i det, men vil ikke have alle skal kunne se min "fejl" som er der.
--------------------------------------
checklogin.php
Kode
<?php
include "db_connect.php";


$myusername=$_POST['myusername'];
$mypassword=$_POST['mypassword'];

$sql="SELECT * FROM $tbl_name WHERE username='$myusername' and password='$mypassword'";
$result=mysql_query($sql);


$count=mysql_num_rows($result);


if($count==1){

session_register("myusername");
session_register("mypassword");
header("location: login_success.php");
}
else {
echo "Wrong Username or Password";
}
?>
------------------------
Add user.
Kode
<?php
include "db_connect.php";
$username = $_POST['username'];
$password = $_POST['password'];
$password2 = $_POST['password1'];
$first = $_POST['fornavn'];
$last =  $_POST['efternavn'];
$email = $_POST['email'];

if ($password2 != $password) {
echo "<b>Fejl, ikke samme password.</b>";
include "signup.php"; 
exit;
}

if ($first == '' ) {
echo "Skriv venligst fornavn.";
include "signup.php";
exit;
}

if ($email == '') {
echo "skriv venligst e-mail";
include "signup.php";
exit;
}

$checkUsername = mysql_query("select username from F_user where username = '$username'") or die (mysql_error());
$number = mysql_num_rows($checkUsername);
if ($number > 0) {
echo  'Desværre brugernavnet er optaget';
} else {

mysql_query("insert into F_user (id, username, password) values ('', '$username', '$password')")
 or die(mysql_error());
 echo "Brugernavn $username er oprettet!";
 ?>
 <a href="index.php">Klik her for at logge ind</a>
  <?php
}

?>
er der noget som i kan se ***OMG SIKKERHEDS FEJL** ? giver kun 20 point, fordi i er så hardcore så i kan se fejl hurtigt, og det er et lille script

EDIT: kan man få SSL sikkerhed på login og brugeropret? for senere skal der et betalings system (slags netbank) på siden som kræver sikkerhed

Det eneste rigtige "sikkerhedsproblem" jeg kan se er, at du tilsyneladende gemme folks password i klar tekst i databasen. Jeg ville nok lave en envejs-kryptering af dem med sha1().
Når du opretter en bruger, gemmer du så SHA1-hash værdien i stedet for deres rigtige kodeord. På den måde vil man ikke kunne se deres kodeord i databasen. Du skal naturligvis huske at lave en SHA1-hash af deres kodeord når de prøver at logge ind

Desuden er det en anelse overflødigt med dine:
$var = $_GET['var']
men det er vel en vanesag

Bruger #9674 @ 26.07.07 11:18

111

Samme som JT siger, tag at kryptere de passwords.
Og så vil jeg lige høre hvorfor du gemmer brugerens password i en session?

Et alternativ ville være at tjekke op på brugerens information, derefter kunne man så lave en random-tekststreng på 10 eller 15 cifre, som man så gemmer i en cookie/session og skriver i databasen.
På den måde vil ingen sårbar information blive lagt ud og "flyve" i sessions.

Så laver man blot et tjek om brugeren stadig er aktiv på siden, og hvis ikke, så slettes random-strengen fra databasen igen.

Har selv lavet et lignende system på et tidspunkt, og det fungere rigtig godt..

Bruger #12072 @ 26.07.07 13:46

Hej Kim,

Det er stadig mere sikkert at bruge mysql_real_escape_string() istedet for addslashes, desuden er det sjældent smart at lave en SELECT * FROM query

Du har glemt og køre en SHA1() på password i add_user.php

Din måde at kontrollere om en værdi er sat eller valid er ikke helt optimalt. Prøv evt. at gøre noget lignende dette

Kode

<?php
$errors = array();

$value1 = null;
$value2 = null;

if (empty($value1))
{
  if(!is_array($errors['value1'])) {$errors['value1'] = array();}
  $errors['value1'][] = 'Value1 er tomt';
}

if (empty($value2))
{
  if(!is_array($errors['value2'])) {$errors['value2'] = array();}
  $errors['value2'][] = 'Value2 er tomt';
}


if(!empty($errors))
{
 // errors array'et er ikke tom og der er derfor fejl noget af input data'en.
 include "signup.php";
exit;
}
else
{
 // der blev ikke fundet nogen fejl og du kan oprette brugeren.
}

?>

Bruger #5582 @ 26.07.07 02:29

266

ang SSL så kan du få det på alle sider, det koster dog at få et SSL certifikat

Bruger #11875 @ 26.07.07 02:42

Hvad koster sådan et certifikat og hvor kan man få det?

Bruger #11875 @ 26.07.07 02:46

OMG! det jo dyrt! (fandt det)
skal finde en ny løsning o_0!

Bruger #11875 @ 26.07.07 11:39

JT > sha1() Det gør jeg når det er næsten færdigt.

(EDIT: nah, har gjordt det nu

så et password bliver til "7110eda4d09e062aa5e4a390b0a572ac0d2c0220"

)

Bjørn Sørensen > JEg ed ikke rigtigt hvorfor, kan sku ikke huske hvorfor jeg gjorde det... der var en mening med det

(EDIT: har fjernet så den ikke gemmer password mere )
men kan du lave et eksempel af det du siger for kan ikke rigtig se hvordan man kan lave det..

Tak for svarene begge to

Indlæg senest redigeret d. 26.07.2007 12:27 af Bruger #11875

Bruger #2330 @ 26.07.07 13:06

444

Din kode er fuldkommen åben for SQL injections, hvis magic_quotes_gpc er slået fra(Og det bør den være i enhver produktions-opsætning). Du skal enten escape det som du smider ind i databasen(Se: mysql_real_escape_string), eller bruge mysqli prepared statements.

Personligt mener jeg at den sidste af de to er klart den bedste, men den kræver PHP5.

Bruger #11875 @ 26.07.07 13:15

Jeg har lige opdateret min kode. nu ser den sådan ud.
Checklogin.php

Kode

<?php
include "db_connect.php";


$myusername = addslashes($_POST['myusername']);
$mypassword = addslashes($_POST['mypassword']);
$mypassword = sha1($_POST['mypassword']);

$sql="SELECT * FROM $tbl_name WHERE username='$myusername' and password='$mypassword'";
$result=mysql_query($sql);


$count=mysql_num_rows($result);


if($count==1){

session_register("myusername");
header("location: login_success.php");
}
else {
echo "Wrong Username or Password";
include "index.php";
}
?>

add_user.php

Kode

<?php
include "db_connect.php";
$username =  addslashes($_POST['username']);
$password =  addslashes($_POST['password']);
$password2 =  addslashes($_POST['password1']);
$first =  addslashes($_POST['fornavn']);
$last =   addslashes($_POST['efternavn']);
$email =  addslashes($_POST['email']);
$date = addslashes( date("H:i:s - m.d.y"));

if ($password == '') {
echo "Skriv et password.";
include "signup.php";
exit;
}

if ($password2 != $password) {
echo "<b>Fejl, ikke samme password.</b>";
include "signup.php"; 
exit;
}



if ($first == '' ) {
echo "Skriv venligst fornavn.";
include "signup.php";
exit;
}

if ($email == '') {
echo "skriv venligst e-mail";
include "signup.php";
exit;
}

$checkUsername = mysql_query("select username from F_user where username = '$username'") or die (mysql_error());
$number = mysql_num_rows($checkUsername);
if ($number > 0) {
echo  'Desværre brugernavnet er optaget';
} else {

$password = sha1($_POST['password']);
mysql_query("insert into F_user (id, username, password, firstname, lastname, email, date, secure) values ('', '$username', '$password', '$first', '$last', '$email', '$date', '' ) ")
 or die(mysql_error());
 echo "Brugernavn $username er oprettet!";
 ?>
 <a href="index.php">Klik her for at logge ind</a>
  <?php
}

?>

The-Freak > kan du vise noget som vill forhindre sql injections? (code) bare en lille ting. for synes det er svært at se hvor det skal bruger og ikke skal bruges

EDIT: Jeg tilføjede Addslashes i min kode for læste i en tut t man kunne bruge det mod sql injections (passer det?)

Indlæg senest redigeret d. 26.07.2007 13:27 af Bruger #11875

Bruger #2330 @ 26.07.07 13:35

444

Ja, addslashes kan bruges til beskyttelse med SQL injections, og du har tilføjet dem det rigtige sted. Men der er flere karaktere, og for at få kål på dem bliver du nød til at bruge mysql_real_escape_string fremfor addslashes.

Med addslashes bør du også først tjekke om magic_qoutes_gpc er slået til eller ej. Det kan du gøre med get_magic_quotes_gpc funktionen.

Et eksempel kunne være:

Kode

$myusername = (get_magic_quotes_gpc() ? $_POST['myusername'] : addslashes($_POST['myusername']));
$mypassword = (get_magic_quotes_gpc() ? $_POST['mypassword'] : addslashes($_POST['mypassword']));

På den måde kan du sørge for at der ikke bliver tilføjet slashes to gange, da magic_quote_gpc automatisk gør det ved alt input du får fra en bruger(Get, Post, Cookie = gpc

)

Indlæg senest redigeret d. 26.07.2007 13:36 af Bruger #2330

<< < 1 2 > >>

tjek min kode.

Karma barometer (30 dage)

Modtaget

Givet

Favorit hos
Forum tråde
Artikler