CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede nugie Nybegynder
13. september 2006 - 23:14 Der er 2 kommentarer og
1 løsning

Hvor sikkert er dette? (Logincheck, mysql)

Hey hey..

Jeg har siddet og rodet med et loginsystem som kører over mysql. Spørgsmålet er så om måden er sikker nok til at bruge eller om der kan forekomme fejl ved det.

Den tjekker om brugernavn og password findes i databasen + hvilke rettigheder de har (1 og 2)

Kan vist godt allerede nu afsløre at jeg ikke er den store haj til php :)


$bruger = $_POST['brugernavn'];
$pass = $_POST['password'];
       
$resultat = mysql_query("SELECT Id FROM `gentle_medlemmer` WHERE navn = '$bruger' AND password = '$pass'");
$number = mysql_num_rows($resultat);
   
$resultat2 = mysql_query("SELECT Id FROM `gentle_medlemmer` WHERE navn = '$bruger' AND password = '$pass' AND rettigheder = '1'");
$number2 = mysql_num_rows($resultat2);
   
$resultat3 = mysql_query("SELECT Id FROM `gentle_medlemmer` WHERE navn = '$bruger' AND password = '$pass' AND rettigheder = '2'");
$number3 = mysql_num_rows($resultat3);         
         
if($number == 1) {
$_SESSION['logget_ind'] = 1;
$_SESSION['brugernavn'] = $bruger;
$_SESSION['password'] = $pass;
    if($number2 == 1) { $_SESSION['status'] = 1; }
    elseif($number3 == 1) { $_SESSION['status'] = 2; }
    else { $_SESSION['status'] = 0; }
header("Location: login-ok.php");
Avatar billede viper_killerguy Nybegynder
13. september 2006 - 23:29 #1
Du har en antagelse om at magic quotes er sat til, hvilket ikke er en selvfølge, denne antagelse kan du imødekomme med f.eks.:
$bruger = $_POST['brugernavn'];
$pass = $_POST['password'];
if (get_magic_quotes_gpc()) {
  $bruger = stripslashes($bruger);
  $pass = stripslashes($pass);
}
$bruger = mysql_escape_string($bruger);
$pass = mysql_escape_string($bruger);

Hvis du vil udskrive $bruger eller $pass kan du kører dem igennem en htmlentities() istedet/også.
Avatar billede nugie Nybegynder
14. september 2006 - 07:39 #2
Må ærligt indrømme at jeg ikke ved hvad magic quotes er.
Jeg har søgt lidt på google og fundet ud af at det helst er en ting som man skal undgå..?
Det hele gik nu mere på om der er nogle fejl ved det så personerne uden rettigheder ligepludselig får rettighederne 2. Eller kan det ikke ske?
Avatar billede dkfire Nybegynder
16. september 2006 - 14:51 #3
I stedet for at søge i databasen 3 gange, så kan du nøjes med at søge 1 gang.
$result = mysql_query("SELECT rettigheder, Id FROM `gentle_medlemmer` WHERE navn = '$bruger' AND password = '$pass'");
Derved kan du bruge den information som står i rettigheder til at skrive i din sessionvariable., $_SESSION['status'].

if(mysql_num_rows($result) > 0)
{
$row = mysql_fetch_assoc($result);
$_SESSION['logget_ind'] = 1;
$_SESSION['brugernavn'] = $bruger;
$_SESSION['status'] = $row['rettigheder'];
header("Location: login-ok.php");
}

Jeg håber ikke der er nogen grund til at du gemmer brugerens kodeord i en sessionvariable. Af sikkerhedsgrunde burde du ikke gøre det.
En anden ting du skulle gøre, er at kryptere dine brugeres passwords, det vil øge din sikkerhed på siden.
Håber jeg har gjort mig nogenlunde forståelig.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Webudvikling kurser
Vi tilbyder markedets bedste kurser inden for webudvikling
Se alle Webudvikling kurser

Flere spørgsmål fra PHP kategorien

Titel Indlæg Oprettet Seneste aktivitet
Hent array key Af nemlig i PHP 3 17/05/202415:22 17/05/202416:30
iCal-feed og import til google kalender driller Af nemlig i PHP 11 09/05/202417:49 10/05/202421:28
Adgang til vandaflæsningsdata Af nemlig i PHP 4 22/04/202422:04 30/04/202421:08
Vælg post rækkefølge Af Mojo_dk i PHP 3 06/04/202418:40 07/04/202412:20
Hjælp til PHP Af Friis77 i PHP 5 11/02/202419:58 12/02/202407:55
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 11:43 Gmail-ikon på skrivebordet Win 10 Af ErikHg i Fri debat
I dag 09:22 Lopslag Af Luffe i Excel
I går 19:15 Personlige indstillinger på Facebook Af nu_igen i Sociale medier
I går 17:56 Bluetooth Højttalersæt Af valby i Andet hardware
I går 16:52 Flextids registrering Af Kenneth Kirsgart i Excel
White papers
Flere white papers »


Premium
Teaser billede
Oplæring i ny it skaber frustrationer: Mange ansatte føler, at de spilder tiden
Læs mere »
AI kan gøre danske projektledere arbejdsløse, hvis ikke de passer på: "Både hastigheden og præcisionen i arbejdet vil stige "
Microsoft og Lenovo har fanget den, Dell er med og SAP sakker bagud i vores Image-undersøgelse: Her er hele listen
Efter forbud fra Datatilsynet: Nu ændres data-håndteringen i din kørekort-app
Se alle »
Computerworld
Teaser billede
Softwarefirmaet Teamviewer med 640.000 kunder globalt ramt af avanceret hackerangreb
Læs mere »
En pladesaks, 1000W og et Nvidia-grafikkort til 14.000 kroner - sådan opgraderede jeg min pc
Dansk-stiftet ingeniørfirma blev franarret 178 millioner kroner i deepfake-svindel
Test: Endelig en skærm der er god til alt - lige fra gaming og underholdning til kontorbrug
Se alle »
CIO
Teaser billede
Efter stort hackerangreb mod Teamviewer: Stop dine opdateringer og tjek opsætningen nu
Læs mere »
I dag træder nye de regler om registrering af din arbejdstid i kraft: Er du klar?
Frygtet melding: Russiske hackere har stjålet Microsoft-kunders e-mails
Russisk hack af Microsoft er meget større end først antaget
Se alle »
Job & Karriere
Teaser billede
Bo solgte sit software-system for et treciftret millionbeløb: Brugte pengene på at købe 80 medarbejdere til ny storsatsning
Læs mere »
Norlys skal splittes op i fem selskaber: Nu bliver flere ansatte og ledere fyret
Dansk top-profil trækker sig fra Microsoft: Skal være direktør i TDC Erhverv
IBM Danmark skifter ud i sin øverste ledelse - her er den nye direktion
Se alle »
White paper
Teaser billede
Nemmere overblik, styring og omkostningskontrol i dit multicloud-miljø
Læs mere »
Sådan får du overblik og beskytter dine cloudapplikationer
Optimering af Source-to-Pay: Identificér oplagte gevinster og skær omkostninger
MDR: Transparent sikkerhed og overvågning i realtid
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »