php - Er det et sikkert log ind system? - Udvikleren.dk - Programmering, webdesign og grafik

Tags: php

Bruger #17607 @ 18.11.13 18:17

Dette logind system er skrevet i php med mysqli. Men vil gerne have at vide at det er sikkert. Og hvordan kan jeg bruge denne kode i en function :

index.php

PHP kode

 $stmt = $mysqli->prepare("SELECT * FROM `users` WHERE username='$username' AND password='$password' AND SPS='$SPS'");
                             $stmt->bind_param('t', $_GET['username']);
                             $stmt->execute();
                             $result = $stmt->get_result();
                             $row = $result->fetch_assoc();    
                             if ($row = 1) {                            }

Så den fx kunne bruges sådan

PHP kode

 if (checkuserexists = 1) {
 echo 'User exists';
 } else {
 echo 'No user found.';
 }

EDIT :

Fulde kode

PHP kode

 <?php
                                 
                 if ($sid && $sbrugernavn) {
                     echo 'Welcome ' . $sbrugernavn;    
                 } else {
                     if ($_POST) {
                         $username = htmlentities($_POST['username']);
                         $password = $_POST['Password'];
                         $SPS = $_POST['SPS'];
                         
                         if ($username && $password) {
                             $password = md5($password  . $username . $salt);
                             $password = sha1($password);
                             $SPS = md5('s334sytgehnfyt3hrfen4' . $salt . 'feshnDE45r' . $password . $SPS);
                             $SPS = sha1($SPS);
                             $stmt = $mysqli->prepare("SELECT * FROM `users` WHERE username='$username' AND password='$password' AND SPS='$SPS'");
                             $stmt->bind_param('t', $_GET['username']);
                             $stmt->execute();
                             $result = $stmt->get_result();
                             $row = $result->fetch_assoc();    
                             if ($row = 1) {
                                 
                                 $user_info = $mysqli->query("SELECT * FROM `users` WHERE username='$username'");
                                 while ($row = $user_info->fetch_assoc()) {
                                     echo $row['id'];
                                     $_SESSION['id'] = $row['id'];
                                     $_SESSION['username'] = $username;
                                     
                                     header('Location: index.php');
                                 }
                             } else {
                                 echo 'Wrong username or password.';    
                             }
                         } else {
                             echo 'All fields is requried!.';    
                         }
                     }
                 ?>
              <form action="index.php" method="post">
                 <label for="username">Username *</label> <br />
                 <input type="text" name="username" id="username" placeholder="Write your username"/> <br />
                 
                 <label for="Password">Password *</label><br />
                 <input type="password" name="Password" id="Password" placeholder="Write your Password"/><br />
                 
                 <label for="SPS">Your speical password (can be anything)*</label><br />
                 <input type="password" name="SPS" id="SPS" placeholder="Write your Speical Password"/><br /> <br />
                 
                 <input type="submit" value="Login" />
                 
             </form>
             <?php
             }
             ?>

Er det et sikker login ellers må i godt komme med nogen eksempler.

Indlæg senest redigeret d. 18.11.2013 18:18 af Bruger #17607

7 svar postet i denne tråd vises herunder
0 indlæg har modtaget i alt 0 karma

Sorter efter stemmer Sorter efter dato

Bruger #3427 @ 18.11.13 19:25

1.520

Er ikke sikkert nej.

Når du bruger prepared statements giver det ikke nogen mening at indsætte et user input direkte i din SQL query, du skal køre dem igennem din prepare og binde dem som variabler.

PHP kode

 $city = "Amersfoort";
 
 /* create a prepared statement */
 if ($stmt = $mysqli->prepare("SELECT District FROM City WHERE Name=?")) {
 
     /* bind parameters for markers */
     $stmt->bind_param("s", $city);
 
     /* execute query */
     $stmt->execute();

Taget fra http://php.net/manual/en/mysqli.prepare.php

Bruger #17607 @ 18.11.13 20:52

Grunden til jeg bruger user input er lidt for at sikre at folk ikke direkte ændre i databasen med ens kodeord så det ikke virker

Bruger #17081 @ 18.11.13 21:07

1.258

Grunden til jeg bruger user input er lidt for at sikre at folk ikke direkte ændre i databasen med ens kodeord så det ikke virker .

Det er du nødt til lige, at forklare igen

Bruger #17607 @ 18.11.13 21:11

Grunden til jeg bruger user input er lidt for at sikre at folk ikke direkte ændre i databasen med ens kodeord så det ikke virker .

Det er du nødt til lige, at forklare igen

Sagt på en anden måde jeg har min ps kode her :

PHP kode

 $password = md5($password  . $username /*Denne*/ . $salt);
 $password = sha1($password);

Det er det jeg mener med user input, og når folk skal skifte ens brugers kodeord fra en database bruger de nok en md5 generator og så sætter de deres nye kode ind, men de skal så også putte deres brugernavn i og salt

. Det synes jeg selv er en lille ekstra smart detajle for at lukke et lille hul