php - tjek min kode. - Udvikleren.dk - Programmering, webdesign og grafik

Tags: php

<< < 1 2 > >>

Bruger #11875 @ 26.07.07 02:05

Hej alle sammen, jeg er igang med at teste mine skills indenfor php

Så jeg laver en masse scripts og ser hvor gode de bliver

Jeg har lavet et login script men er usikker på sikkerheden i det. Jeg har læst mange tutorials om login scripts. så hvis i ser noget som ligner noget i har set før, er det nok der jeg har det fra. (har ikke copy pastet noget, læst for lang tid siden og lavet nu

) så vær venlig ikke at kopiere mit script. (har fjernet noget i det, fordi der er lidt sikkerhed i det, men vil ikke have alle skal kunne se min "fejl" som er der.

--------------------------------------
checklogin.php

Kode

<?php
include "db_connect.php";


$myusername=$_POST['myusername'];
$mypassword=$_POST['mypassword'];

$sql="SELECT * FROM $tbl_name WHERE username='$myusername' and password='$mypassword'";
$result=mysql_query($sql);


$count=mysql_num_rows($result);


if($count==1){

session_register("myusername");
session_register("mypassword");
header("location: login_success.php");
}
else {
echo "Wrong Username or Password";
}
?>

------------------------
Add user.

Kode

<?php
include "db_connect.php";
$username = $_POST['username'];
$password = $_POST['password'];
$password2 = $_POST['password1'];
$first = $_POST['fornavn'];
$last =  $_POST['efternavn'];
$email = $_POST['email'];

if ($password2 != $password) {
echo "<b>Fejl, ikke samme password.</b>";
include "signup.php"; 
exit;
}

if ($first == '' ) {
echo "Skriv venligst fornavn.";
include "signup.php";
exit;
}

if ($email == '') {
echo "skriv venligst e-mail";
include "signup.php";
exit;
}

$checkUsername = mysql_query("select username from F_user where username = '$username'") or die (mysql_error());
$number = mysql_num_rows($checkUsername);
if ($number > 0) {
echo  'Desværre brugernavnet er optaget';
} else {

mysql_query("insert into F_user (id, username, password) values ('', '$username', '$password')")
 or die(mysql_error());
 echo "Brugernavn $username er oprettet!";
 ?>
 <a href="index.php">Klik her for at logge ind</a>
  <?php
}

?>

er der noget som i kan se ***OMG SIKKERHEDS FEJL** ?

giver kun 20 point, fordi i er så hardcore så i kan se fejl hurtigt, og det er et lille script

EDIT: kan man få SSL sikkerhed på login og brugeropret? for senere skal der et betalings system (slags netbank) på siden som kræver sikkerhed

Indlæg senest redigeret d. 26.07.2007 02:13 af Bruger #11875

16 svar postet i denne tråd vises herunder
3 indlæg har modtaget i alt 3 karma

Sorter efter stemmer Sorter efter dato

Bruger #11875 @ 26.07.07 13:40

Tak, jeg ser lige på det og skriver om ca 15min

Kode

$username =  (get_magic_quotes_gpc() ? $_POST['username']; : addslashes($_POST['username']));
$password =  (get_magic_quotes_gpc() ? $_POST['password']; : addslashes($_POST['password']));
$password2 = (get_magic_quotes_gpc() ?  $_POST['password1']; : addslashes($_POST['password1'));
$first =  (get_magic_quotes_gpc() ? $_POST['fornavn']; : addslashes($_POST['fornavn']));
$last =   (get_magic_quotes_gpc() ? $_POST['efternavn']; : addslashes($_POST['efternavn']))
$email =  (get_magic_quotes_gpc() ? $_POST['email']; : addslashes($_POST['email']));
$date = (get_magic_quotes_gpc() ?  date("H:i:s - m.d.y"); : addslashes(date("H:i:s - m.d.y"));

nu tænker jeg jo... (get_magic_quotes_gpc() laver en \\ foran ' ikke? og så laver "addslashes" også en...
så bliver password. \\\\' OR 1 (hvis injection)
laver den så kke njection aligevel?
eller har jeg misforstået noget...

Indlæg senest redigeret d. 26.07.2007 13:53 af Bruger #11875

Bruger #11875 @ 26.07.07 13:59

wow.. troede faktisk min kode var ret ok og næsten uden fejl... men kan se det skulle en hel del fler points..

Lars S. Linnet >
den kode du har skrevet kan du beskrive lidt hvad den gør.
har ikke brugt array ret meget.

hvor har jeg glemt sha1 i add_user?

Kode

$password = sha1($_POST['password']);
mysql_query("insert into F_user (id, username, password, firstname, lastname, email, date, secure) values ('', '$username', '$password', '$first', '$last', '$email', '$date', '' ) ")
 or die(mysql_error());
 echo "Brugernavn $username er oprettet!";
 ?>

den er da lige der...

Bruger #2330 @ 26.07.07 14:21

444

Kim, i din kode der, der skal du ikke have et semi-kolon efter hver delene inde i if-sætningen.

Bruger #11875 @ 26.07.07 14:50

Nu har jeg lavet det meste som alle har sagt

Kode

<?php
include "db_connect.php";
$username = (get_magic_quotes_gpc() ? $_POST['username'] : addslashes($_POST['username']));
$password = (get_magic_quotes_gpc() ? $_POST['password'] : addslashes($_POST['password']));
$password2 = $_POST['password1'];
$first = (get_magic_quotes_gpc() ? $_POST['fornavn'] : addslashes($_POST['fornavn']));
$last = (get_magic_quotes_gpc() ? $_POST['efternavn'] : addslashes($_POST['efternavn']));
$email = (get_magic_quotes_gpc() ? $_POST['email'] : addslashes($_POST['email']));
$date =  date("H:i:s - m.d.y");

$checkUsername = mysql_query("select username from F_user where username = '$username' ") or die (mysql_error());
$number = mysql_num_rows($checkUsername);
if ($number > 0) {
echo  'Desværre brugernavnet er optaget';
include "signup.php";
exit;
}

$errors = array();
$u = $_POST['username'];
$p = $_POST['password'];
$f = $_POST['fornavn'];
$e = $_POST['email'];

if (empty($u))
{
  if(!is_array($errors['u'])) {$errors['u'] = array(); }
  $errors['u'][] = 'u er tomt';
exit;
}

if (empty($p))
{
  if(!is_array($errors['p'])) {$errors['p'] = array(); }
  $errors['p'][] = 'p er tomt';
exit;
}


if (empty($f))
{
  if(!is_array($errors['f'])) {$errors['f'] = array(); }
  $errors['f'][] = 'f er tomt';
exit;
}


if (empty($e))
{
  if(!is_array($errors['e'])) {$errors['e'] = array(); }
  $errors['e'][] = 'e er tomt';
exit;
}




 else {

$password = sha1($_POST['password']);
mysql_query("insert into F_user (id, username, password, firstname, lastname, email, date, secure) values ('', '$username', '$password', '$first', '$last', '$email', '$date', '' ) ") or die(mysql_error());
 echo "Brugernavn $username er oprettet!";
 ?>
 <a href="index.php">Klik her for at logge ind</a>
  <?php
}

?>

mere der skal laves?

Indlæg senest redigeret d. 26.07.2007 15:10 af Bruger #11875

Bruger #2330 @ 26.07.07 16:08

444

Alle de der "x er tomt" checks, de skal laves om, så de tjekker at alle $_POST værdierne er sat eller ej. Du skal altså tjekke alle de værdier som du satte oppe i toppen, $username, $password, etc, og ikke lave nogle nye nogle.

Bruger #6559 @ 26.07.07 19:49

843

EDIT: Ups havde ikke set side 2

Indlæg senest redigeret d. 26.07.2007 19:52 af Bruger #6559

<< < 1 2 > >>

tjek min kode.

Karma barometer (30 dage)

Modtaget

Givet

Favorit hos
Forum tråde
Artikler