Autor | Zpráva | ||
---|---|---|---|
badyto Profil * |
#1 · Zasláno: 3. 11. 2009, 16:49:50
Zdravim!
Chcel by som sa spytat ci je tento sposob prihlasovania bezpecny: function check_login(){ $nick=htmlspecialchars($_POST["nick"]); $pass=htmlspecialchars($_POST["pass"]); if($nick !='' and $pass!=''){ $R=mysql_query("select ifnull(id,'err') id from users where nick='$nick' and heslo='$pass'"); $idNick=mysql_fetch_object($R); $idNick=$idNick->id; if($idNick!='err') $_SESSION["idNick"]=$idNick; } } if(isset($_POST["nick"])) check_login(); if(!is_numeric($_SESSION["idNick"])) header("Location: index.php"); echo 'boli ste uspesne prihlaseny'; $_SESSION premenne myslim nema uzivatel ako ovplyvnit, ci sa mylim? Diky moc za vasu radu! |
||
vynalezce Profil |
#2 · Zasláno: 3. 11. 2009, 16:51:58 · Upravil/a: vynalezce
co takhle hashovat heslo
htmlspecialchars() chrani proti xss ale neni urcen pro ochranu proti mysql injection lepsi je pouzit mysql_real_escape_string() |
||
badyto Profil * |
#3 · Zasláno: 3. 11. 2009, 16:58:21
Oki, diki moc za radu!
A k tomu hashovaniu, cize to iste ako mam len na 3. riadku dam napr. $pass=md5($_POST["pass"]); s tym ze hesla v DB budu ulozene tiez v md5() ?? Ja som mal len obavy ze ci uzivatel neakym sposobom mi nevie nastavit $_SESSION premennu, ale pokial to nie je mozne tak by to malo byt OK myslim nie? |
||
Nox Profil |
#4 · Zasláno: 3. 11. 2009, 17:00:07
badyto:
proč používáš htmlspecialchars když to jde do mysql databáze? -> mysql_real_escape_string řádky 5-7 jsou zapsat jako $idNick = mysql_result( mysql_query("..."), 0) ); ta konstrukce s ifnull nemá význam... podle mě lepší místo magickýho !='err' použít is_null() echo na řádku 15 se provede vždy co takhle dát nick/pass jako parametry funkce? na řádek 4 bych dal radši !empty() |
||
vynalezce Profil |
#5 · Zasláno: 3. 11. 2009, 17:01:45 · Upravil/a: vynalezce
badyto:
„s tym ze hesla v DB budu ulozene tiez v md5() ??“ treba jeste pripadne salt „Ja som mal len obavy ze ci uzivatel neakym sposobom mi nevie nastavit $_SESSION premennu“ zmenit hodnotu session nejde |
||
Nox Profil |
#6 · Zasláno: 3. 11. 2009, 17:14:53
|
||
badyto Profil * |
#7 · Zasláno: 3. 11. 2009, 17:15:42
Ok idem si to hned vsetko pekne osetrit.
Dakujem vam vsetkym velmi pekne! Moc ste mi pomohli! este raz DIK! |
||
Časová prodleva: 14 let
|
0