Autor Zpráva
fandaa
Profil
Zdravím všechny.
Opět jsem se pokoušel vytvořit další způsob přihlašování a tady je skript:

<?php

if(isset($_GET["kd"]) && ($_GET["pwa"]) && ($_GET["klic"])) {
if(($_GET["kd"]=="uzivatel") && ($_GET["pwa"]=="heslo") && ($_GET["klic"]=="159")) {
echo '<h3> Administrace</h3>
<dl class="modra"> <dt>Rozhrání administrátora</dt>
<dd>Úspěšně přihlášen</dd>
</dl> '; } }
else { echo'!!!!!!!!! chyba !!!!!!!!';}

if(($_GET["kd"]=="") && ($_GET["pwa"]=="") && ($_GET["klic"]=="")) {
echo '<h3 class="modra"> Administrace</h3>
<dl class="modra"> <dt>Nepřihlášen</dt> <dd>Přihlaš se:</dd>
<p><form action="index.php" method="get">
<input name="kd" type="text" size="25" value="">
<input name="pwa" type="password" size="25" value="">
<input name="klic" type="text" size="25" value="">
<input type="submit" value="Přihlásit se"></form>
</p> '; }
?>


Co myslíte. Může se zde někdo nějakým způsobem dostat? Myslím pokud nic nezná, jestli by si mohl nějakým způsobem zjistit údaje... Snad mě chápete.
Měsíček
Profil
vždy se může dostat ;)
Jan Tvrdík
Profil
1. Posílat přihlašování metodou GET určitě bezpečné neni.
2. Celé to přihlašování je jen na jednu stránku, ale jestli to tak má být tak dejme tomu
3. Pokud dá uživatel F5, tak bude znovu posílat data
4. Když zadá špatně heslo, tak se mu zobrazí text "chyba" místo formuláře pro nový pokus k přihlášení
(...)
Joker
Profil
fandaa
Přihlašování přes GET není moc dobré

Pokud nezadám heslo, nezobrazí se vůbec nic.
BetaCam
Profil
No tak s tim GET se rozluč už jenom to že každej kdo přijde k tvému PC nahodí prohlížeč a uvidí v historii link se všema přihlašovacíma údajema je hodně postavené na hlavu. Sice můžes namítat, že na svém PC děláš jen ty, a že se z jiného PC přilašovat nebudeš atd., ale nezlob se na mě tohle je bezpečný asi jako skok z letadla bez padáku.
DFly
Profil
pokud chces neco bezpecneho, zacni to resit pres https...
dajusa
Profil
https nejsou špatné ale pokud by jsi to chtěl opravdu bezpečné tak je asi nejlepší používat sessions...
heslo se do databáze uloží zahashované... dalsi vec je ta ze veskere operace ohledne prihlasovani jsou provadeny na strane serveru, tzn. ze z tveho pocitace nikdo nedostane heslo ani jmeno protoze to tam neni nikde videt.....
dajusa
Profil
a rozhodne bych Ti doporucil pouzivat POST kdyz uz
onge
Profil *
Kdyz uz je rec o https, nevite nekdo o nejakem srozumitelnem tutorialu?
Mastodont
Profil
onge
Tutorial k čemu? HTTPS buď je nebo není k dispozici, na tom není co řešit :-)
Dranel
Profil
Mastodont
Ale je na tom co řešit... třeba co to je, k čemu to je, kdy a jak se to používá... kdo to neví potřebuje o tom článek (tutoriál)...

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm:

0