Модераторы: skyboy, MoLeX, Aliance, ksnk

Поиск:

Ответ в темуСоздание новой темы Создание опроса
> данные сессий 
:(
    Опции темы
Alix36
Дата 27.12.2006, 11:37 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Опытный
**


Профиль
Группа: Участник
Сообщений: 478
Регистрация: 6.11.2006

Репутация: 1
Всего: 3
Код

<? ob_start(); ?>
<html>
<head>
<title>Untitled Document</title>
<meta http-equiv="Content-Type" content="text/html; charset=windows-1251">
<?
if(isset($login) && isset($password1) && isset($password2))
{
$aut_con = mysql_connect("localhost", "", "")
   or die ("Could not connect to MySQL");

 mysql_select_db ("")
   or die ("Could not select database");
$t=mysql_query("SELECT * FROM guser WHERE glogin=\"$login\"");
    
    
$u=mysql_fetch_array($t)
or die (mysql_error());
if($password1 == $password2 && $password1 == $u['pass'])
{

setcookie("banzai", $u["id"], time()+86400000000);
setcookie("banzai2",$login,time()+86400000000);
ob_end_flush();
?>
<h1><a href=in.php>СЮДА!</a></h1>
<?

}
else
{
if($password1 != $u['pass'])
{
print "ВВЕДЕНЫЕ ПАРОЛИ НЕ СОВПАДАЮТ С ИСХОДНЫМ!";
}
print "<a href=aut.php>Попытка не пытка! </a>";
}
 
 }

?>
</head>
<body>
<? if(!isset($go))
 { ?>
 <h1 align="center">Форма авторизации
 <?php include "ver.php"; 
 print $aut_ver;?></h1>
 
<form name="autorization_form" method="post" >
  <p>Login 
    <input type="text" name="login">
  </p>
  <p>Pass 
    <input type="password" name="password1">
  </p>
  <p>Pass2
    <input type="password" name="password2">
  </p>
  <p align="center">
    <input name="go" type="submit" id="go" value="f">
  </p>
</form>
</body>
</html>
<?
}
?>

вот написал простенький скрипт авторизации. Из него передается(через кукисы) две переменных  но насколько безопасно показывать их пользователям? и могут ли они их изменить? Как от этого защититься?

Это сообщение отредактировал(а) Alix36 - 27.12.2006, 15:52


--------------------
Наши лица как дым, И никто не узнает как мы победим. (С)Пикник.
PM MAIL   Вверх
usverishe
Дата 27.12.2006, 11:51 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Новичок



Профиль
Группа: Участник
Сообщений: 48
Регистрация: 14.8.2006
Где: город над вольной Невой

Репутация: нет
Всего: 1
Зашифруй пароли в базе спомошью md5, юзеру в куки сохраняй тоже в md5  и всё.
З.Ы.
А зачем 2 раза вводить пароль?
PM MAIL   Вверх
Alix36
Дата 27.12.2006, 12:13 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Опытный
**


Профиль
Группа: Участник
Сообщений: 478
Регистрация: 6.11.2006

Репутация: 1
Всего: 3
сам незнаю... там будет мыло!
мне потом эти данные нужны без md5 как их потом раскодировать?


--------------------
Наши лица как дым, И никто не узнает как мы победим. (С)Пикник.
PM MAIL   Вверх
PARROT
Дата 27.12.2006, 12:13 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Эксперт
****


Профиль
Группа: Экс. модератор
Сообщений: 2339
Регистрация: 5.1.2005
Где: Спб-ЦарьГрад

Репутация: 23
Всего: 50
Тут не стоит экранировать кавычки:
Код

WHERE glogin=\"$login\"");

Модератор: Название темы должно отражать ее суть!

Добавлено @ 12:14 
md5 не раскодируется.

Добавлено @ 12:18 
http://ru.php.net/manual/ru/
http://www.phpfaq.ru/na_tanke


--------------------
Безумный утешается прошедшим, слабоумный - будущим, умный - настоящим!
PM MAIL   Вверх
Mal Hack
Дата 27.12.2006, 15:27 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Мудрый...
****


Профиль
Группа: Участник Клуба
Сообщений: 9926
Регистрация: 15.2.2004

Репутация: 122
Всего: 261
Цитата(Alix36 @  27.12.2006,  11:37 Найти цитируемый пост)
time()+86400000000

Это работает?

В догонку к ссылкам:
Наш FAQ, где есть пример.
Про сессии: http://phpclub.ru/detail/article/sessions
PM ICQ   Вверх
Alix36
Дата 27.12.2006, 15:50 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Опытный
**


Профиль
Группа: Участник
Сообщений: 478
Регистрация: 6.11.2006

Репутация: 1
Всего: 3
Mal Hack,
сам удивился до 2022 года... 


--------------------
Наши лица как дым, И никто не узнает как мы победим. (С)Пикник.
PM MAIL   Вверх
Mal Hack
Дата 27.12.2006, 16:32 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Мудрый...
****


Профиль
Группа: Участник Клуба
Сообщений: 9926
Регистрация: 15.2.2004

Репутация: 122
Всего: 261
Фишка в том, что может быть перебор, и в 4 ПХП с этим будут проблемы, в 5 отсчет с нуля пойдет.. Что не есть хорошо.
Предел вроде 2031 год.
PM ICQ   Вверх
-=Ustas=-
Дата 28.12.2006, 10:34 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Ustix IT Group
****


Профиль
Группа: Участник Клуба
Сообщений: 2222
Регистрация: 21.1.2005
Где: Краснодар

Репутация: 32
Всего: 69
Цитата(Mal Hack @  27.12.2006,  16:32 Найти цитируемый пост)
Предел вроде 2031 год. 

Если мне память не изменяет то 2038 smile

ЗЫ. Сори за оффтоп


--------------------
В искаженном мире все догмы одинаково произвольны, включая догму о произвольности догм.
-----
PM WWW ICQ Skype   Вверх
Alix36
Дата 2.1.2007, 19:01 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Опытный
**


Профиль
Группа: Участник
Сообщений: 478
Регистрация: 6.11.2006

Репутация: 1
Всего: 3
А можете ответить на основной вопрос?
На сколько опасно что юсер сам изменит кукисы?



--------------------
Наши лица как дым, И никто не узнает как мы победим. (С)Пикник.
PM MAIL   Вверх
Mal Hack
Дата 2.1.2007, 19:17 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Мудрый...
****


Профиль
Группа: Участник Клуба
Сообщений: 9926
Регистрация: 15.2.2004

Репутация: 122
Всего: 261
Alix36, а ты статью почитай. Там все написано... Опасность зависит от кривизны проверок. Я ничего проверять при register_globals = On не собираюсь...
PM ICQ   Вверх
Alix36
Дата 2.1.2007, 22:44 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Опытный
**


Профиль
Группа: Участник
Сообщений: 478
Регистрация: 6.11.2006

Репутация: 1
Всего: 3
а  безопасно работать с глобал=он но проверяя основные данные(они в куках храняться) вот таким способом

Код

<?php
if (isset($_COOKIE['MAGIC_COOKIE'])) {

   // MAGIC_COOKIE получена из достоверного источника.
   // Для полной уверенности необходимо проверить ее значение.

} elseif (isset($_GET['MAGIC_COOKIE']) || isset($_POST['MAGIC_COOKIE'])) {

   mail("[email protected]", "Обнаружена попытка взлома", $_SERVER['REMOTE_ADDR']);
   echo "Обнаружено нарушение безопасности, администратор уведомлен.";
   exit;

} else {

   // MAGIC_COOKIE в данных запроса не присутствует
}
?> 



--------------------
Наши лица как дым, И никто не узнает как мы победим. (С)Пикник.
PM MAIL   Вверх
Mal Hack
Дата 2.1.2007, 22:50 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Мудрый...
****


Профиль
Группа: Участник Клуба
Сообщений: 9926
Регистрация: 15.2.2004

Репутация: 122
Всего: 261
Цитата(Alix36 @  2.1.2007,  22:44 Найти цитируемый пост)
а  безопасно работать с глобал=он но проверяя основные данные(они в куках храняться) вот таким способом

Поверь, даже матерые программисты порой забывают какую-ть проверку... Так что лучше в Off.
PM ICQ   Вверх
Alix36
Дата 2.1.2007, 22:52 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Опытный
**


Профиль
Группа: Участник
Сообщений: 478
Регистрация: 6.11.2006

Репутация: 1
Всего: 3
я непонимаю как тогда можно обрабатывать данные формы если нет глобальных переменных. 
Если есть дай пример.


--------------------
Наши лица как дым, И никто не узнает как мы победим. (С)Пикник.
PM MAIL   Вверх
Mal Hack
Дата 2.1.2007, 22:59 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Мудрый...
****


Профиль
Группа: Участник Клуба
Сообщений: 9926
Регистрация: 15.2.2004

Репутация: 122
Всего: 261
Alix36, что значит нет? есть. $_GET, $_POST и все остальное. При register_globals=Off ты можешь быть уверен со 100% вероятностью, что $_GET это то что из адресной строки и т.п. На твоем последнем отрезке кода этого не видно
PM ICQ   Вверх
Alix36
Дата 2.1.2007, 23:02 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Опытный
**


Профиль
Группа: Участник
Сообщений: 478
Регистрация: 6.11.2006

Репутация: 1
Всего: 3
а. тоесть где я обычно обрабатывал переменную из формы нужно писать не $a, а переменную $_POST['a']?

Добавлено @ 23:02 
форма пост отправлена не гет



--------------------
Наши лица как дым, И никто не узнает как мы победим. (С)Пикник.
PM MAIL   Вверх
Ответ в темуСоздание новой темы Создание опроса
Правила форума "PHP"
Aliance
IZ@TOP
skyboy
SamDark
MoLeX

Новичкам:

  • PHP редакторы собираются и обсуждаются здесь
  • Электронные книги по PHP, документацию можно найти здесь
  • Интерпретатор PHP, полную документацию можно скачать на PHP.NET

Важно:

  • Не брезгуйте пользоваться тегами [code=php]КОД[/code] для повышения читабельности текста/кода.
  • Перед созданием новой темы воспользуйтесь поиском и загляните в FAQ
  • Действия модераторов можно обсудить здесь

Внимание:

  • Темы "ищу скрипт", "подскажите скрипт" и т.п. будут переноситься в форум "Web-технологии"
  • Темы с именами: "Срочно", "помогите", "не знаю как делать" будут УДАЛЯТЬСЯ

Если Вам понравилась атмосфера форума, заходите к нам чаще! С уважением, IZ@TOP, skyboy, SamDark, MoLeX, awers.
 
1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)
0 Пользователей:
« Предыдущая тема | PHP: Общие вопросы | Следующая тема »

Подписаться на тему | Подписка на этот форум | Скачать/Распечатать тему


 




[ Время генерации скрипта: 0.0850 ]   [ Использовано запросов: 21 ]   [ GZIP включён ]


Реклама на сайте     Информационное спонсорство

 
 По вопросам размещения рекламы пишите на vladimir(sobaka)vingrad.ru
Отказ от ответственности     Powered by Invision Power Board(R) 1.3 © 2003  IPS, Inc.