Jump to content
  • 0

Безопасная авторизация

MrPostman

Asked by MrPostman,

 Share

Question

MrPostman Explorer

MrPostman

Posted
Posted

Задача - доступ к админке только по логину и паролю. Регистрация всех желающих не нужна.

Я сделал так: в сессии хранится логин и пароль, при запросе страницы, которая должна быть доступна только администраторам, выполняется проверка, возвращает ли функция TRUE или FALSE:


function logged()
	{
		if (isset($_SESSION['username']) && isset($_SESSION['pw']))
		{
			$user=$_SESSION['username'];
			$pw=$_SESSION['pw'];
			$query = "SELECT user FROM users WHERE user='$user' AND pass='$pw'";
			$result = mysql_query($query);
			if (!$result) die('Error of access');
			else
			{
				if(mysql_num_rows($result))
				{
					$islogin = TRUE;
					return $islogin;
				}
				else
				{
					$islogin = FALSE;
					return $islogin;
				}
			}
		}
		else
		{
			$islogin = FALSE;
			return $islogin;
		}
	}

Безопасно ли такое решение? Приемлемо ли оно?

Link to comment
Share on other sites

9 answers to this question

Recommended Posts

  • 0
Gold Dragon Explorer

Gold Dragon

Posted
Posted

я бы ещё проверку самой сессии осуществлял.. ну типа если с другого браузера или компа зашли под логин-пароль, то заглогинить все остальные соединения, чтоб двух пользователей не оказалось одновременно

Link to comment
Share on other sites
  • 0
rus Explorer

rus

Posted
Posted

Безопасно ли такое решение?

ответ - нет. нету хэширования методами salt() и md5().

потом, нужна проверка прежде всего сидит ли хэш пароля в куках, а уж после заводить сессию и сверять хэш в бд с введенными данными.

Приемлемо ли оно?

если оно не безопасно, может ли быть приемлемым? вам решать.

Link to comment
Share on other sites
  • 0
MrPostman Explorer

MrPostman

Posted
  • Author
Posted (edited)

В сессии хранится зашифрованный пароль, как и в базе данных. Шифрование с помощью salt и md5 осуществляется во время входа и регистрации пользователя. Стоит шифровать ещё раз?

нужна проверка прежде всего сидит ли хэш пароля в куках, а уж после заводить сессию и сверять хэш в бд с введенными данными.

Не понял. Это чтобы не стартовать для каждого сессию? C какими введёнными данными? Эта функция для проверки имеющейся сессии, а не для самого входа и её инициализации.

Edited by MrPostman
Link to comment
Share on other sites
  • 0
abused Explorer

abused

Posted
Posted (edited)

Не понимаю, зачем хранить пароль в сессии. Достаточно username, при условии правильно введенного пароля, плюс можно абракадабру чтоб пыль в глаза пустить, либо случайный token чтобы совпадал со значением поля таблицы в БД (тут вариантов куча может быть), но никак не пароль, и даже не его хэш.

Правилом хорошего тона считается передача пароля не в открытом виде из формы, а md5('пароль') на сервер. А в БД при этом хранить md5(md5('пароль')). Т.е. при помощи JS передавать хэш пароля на сервер.

Edited by abused
Link to comment
Share on other sites
  • 0
abused Explorer

abused

Posted
Posted (edited)

Т.е. при помощи JS передавать хэш пароля на сервер.

Это как? Причём здесь JS?

Все просто, например так: если броузер поддерживает JS и включено, то при помощи JS-функци заменить содержимое поля ввода пароля на хэш этого самого пароля. Либо при помощи AJAX.

Edited by abused
Link to comment
Share on other sites
  • 0
rus Explorer

rus

Posted
Posted

В сессии хранится зашифрованный пароль, как и в базе данных. Шифрование с помощью salt и md5 осуществляется во время входа и регистрации пользователя. Стоит шифровать ещё раз?

нужна проверка прежде всего сидит ли хэш пароля в куках, а уж после заводить сессию и сверять хэш в бд с введенными данными.

Не понял. Это чтобы не стартовать для каждого сессию? C какими введёнными данными? Эта функция для проверки имеющейся сессии, а не для самого входа и её инициализации.

нет, еще раз не стоит :) просто в приведенном куске этого не видно.

просто есть (по крайней мере я знаю) два способа сверить значение введенное клиентом - серверу: либо в куках, либо напрямую в значении сессии.

по сему я не знаю как у вас реализовано, вот и сказал что нужно проверять и если есть, то пускать его.

это своего рода некая защита для дополнительной идентификации, хотя и ее можно обойти - выкрасть куку например, но, есть и много других способов, например сверка ip, или еще чего-нибудь...

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to question listing

  • Обсуждения

    • Nikker
      Дизайн сайтов, landing page, логотипов, баннеров, шапок | Высокое качество, по хорошей цене

      By Nikker · Posted

      Актуальные контакты: Telegram: @Nikker_web E-Mail:   tarasevich.email@gmail.com Портфолио https://www.behance.net/d4d4186e Разрабатываю дизайн групп в соц сетях, сайтов, приложений, другой дизайн под заказ    
    • Nikker
      Брендовый дизайн в социальных сетях

      By Nikker · Posted

      Актуальные контакты: Telegram: @Nikker_web E-Mail:   tarasevich.email@gmail.com   Разрабатываю дизайн групп в соц сетях, сайтов, приложений, другой дизайн под заказ   Портфолио https://www.behance.net/d4d4186e
    • Mondeus
      Вёрстка футера на движке Xenforo

      By Mondeus · Posted

      Доброго всем времени суток. Прошу помощи. Научите принципу изменения футера. Движок Xenforo. Версия 2.2.10. Стиль дефолтный. Что именно нужно в итоге на фото примере. Мой шаблон app.footer less имеет следующее значение.  .p-footer { .xf-publicFooter(); a { .xf-publicFooterLink(); } } .p-footer-inner { .m-pageWidth(); .m-pageInset(); padding-top: @xf-paddingMedium; padding-bottom: @xf-paddingLarge; } .p-footer-row { .m-clearFix(); margin-bottom: -@xf-paddingLarge; } .p-footer-row-main { float: left; margin-bottom: @xf-paddingLarge; } .p-footer-row-opposite { float: right; margin-bottom: @xf-paddingLarge; } .p-footer-linkList { .m-listPlain(); .m-clearFix(); > li { float: left; margin-right: .5em; &:last-child { margin-right: 0; } a { padding: 2px 4px; border-radius: @xf-borderRadiusSmall; &:hover { text-decoration: none; background-color: fade(@xf-publicFooterLink--color, 10%); } } } } .p-footer-rssLink { > span { position: relative; top: -1px; display: inline-block; width: 1.44em; height: 1.44em; line-height: 1.44em; text-align: center; font-size: .8em; background-color: #4682B4; border-radius: 2px; } .fa-rss { color: white; } } .p-footer-copyright { margin-top: @xf-elementSpacer; text-align: center; font-size: @xf-fontSizeSmallest; } .p-footer-debug { margin-top: @xf-paddingLarge; text-align: right; font-size: @xf-fontSizeSmallest; .pairs > dt { color: inherit; } } @media (max-width: @xf-responsiveMedium) { .p-footer-row-main, .p-footer-row-opposite { float: none; } .p-footer-copyright { text-align: left; padding: 0 4px; // aligns with other links } }  
    • torsar
      Примеры верстки

      By torsar · Posted

      Нужны сайты с примерами верстки, типа https://css-tricks.com/. Типовые приемы и нестандартные на все случаи жизни. Накидайте ссылок.
    • Katerina23
      Какой тег использовать, чтобы увеличивать число кнопками вверх-вниз?

      By Katerina23 · Posted

      Да, подходит. Спасибо.
×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue. See more about our Guidelines and Privacy Policy

  I accept