php - Opsummering af "100% sikkert login" - Udvikleren.dk

Tags: php

<< < 1 2 3 4 > >>

Bruger #10584 @ 26.02.08 22:29

Hej udviklinger

http://www.udvikleren.dk/PHP/Thread.aspx/6/23631/

Jeg har ud fra jeres hjælp sammensat et loginsystem.

Jeg vil gerne have jer til at rette de eventuelle fejl/mangler i koden før jeg begynder at sammensætte en artikel om det.

index.php

Kode

<html>

<head>
	<title>Sikret side</title>
</head>

<body>
	<h1>Super sikkert loginsystem</h1>
	<h2>af Sam S. Olesen</h2>
	<a href="register.php">Registrer ny bruger</a><br><br>
	<a href="login.php">Login</a><br><br>
	<a href="file.php">Sikret side</a><br><br>
<?php
if ($_GET["msg"]==reg) {
	echo '<p style="color:green;">Brugernavn og password var ledigt og er godkendt</p><br>';
}
?>
	<p>Copyleft: Sam Sepstrup Olesen 2008
</body>

</html>

Kode

<html>

<head>
	<title>Registrer</title>
</head>

<body>
	<h1>Indtastning af nye brugere</h1>
	<h2>Indtast brugernavn og password</h2>
<?php
	if ($_GET["error"]=="empty") {
		echo '<p style="color:red;">Du skal udfylde begge felterne</p>';
	} elseif ($_GET["error"]=="notfree") {
		echo '<p style="color:red;">Brugernavnet er ikke ledigt</p>';
	} elseif ($_GET["error"]=="notlong") {
		echo '<p style="color:red;">Adgangskoden skal være på mindst 8 tegn</p>';
	} elseif ($_GET["error"]=="indic") {
		echo '<p style="color:red;">Adgangskoden blev fundet i en liste over svage koder, skriv en sikrere adganskode</p>';
	} elseif ($_GET["error"]=="equal") {
		echo '<p style="color:red;">Brugernavnet og adgangskoden må ikke være ens</p>';
	}
?>
	<form action='create.php' method='post'>
		<p>Brugernavn: </p>
		<input type='text' name='username' />
		<br><br>
		<p>Password: </p>
		<input type='password' name='password' />
		<br><br>
		<input id='opret' type='submit' name='opret' value='Opret' /> 
		<input type='reset' name='slet' value='Reset' />
		<br><br><a href="index.php">Tilbage</a><br><br>
		<p>Copyleft: Sam Sepstrup Olesen 2008
	</form>
</body>

</html>

create.php

Kode

<?php
// Gør en variabel sikker
function quote_smart($value)
{
    if (get_magic_quotes_gpc()) {
        $value = stripslashes($value);
    }
    if (!is_numeric($value)) {
        $value = "'" . mysql_real_escape_string($value) . "'";
    }
    return $value;
}

// HUSK AT ÆNDRE DEN EFTER FØLGENDE LINJE TIL DIN EGEN DATABASE FORBINDELSE!!
mysql_connect("localhost", "databasebrugernavn", "databasepassword"); mysql_select_db("database");

//Tjek om felterne er udfyldt
if ($_POST['username']==""||$_POST['password']=="") {
	header('Location: '.rtrim(dirname($_SERVER['PHP_SELF']), '/\\\\').'/register.php?error=empty');
	exit;
}

// Sikre username mod farlige tegn
$match=array("&","<",">");
$replace=array("& # 3 8 ;","& # 6 0 ;","& # 6 2 ;"); // FJERN MELLEMRUMMENE I DENNE LINJE!! (udvikleren.dk laver koden om til tegn)
$username=str_replace($match,$replace,$_POST['username']);

// Tjek om brugernavnet er ledigt
$usernamecheck=mysql_query("SELECT NULL FROM userlogin WHERE username=".quote_smart($username)) or die(mysql_error());
if (mysql_num_rows($usernamecheck)>0){
	header('Location: '.rtrim(dirname($_SERVER['PHP_SELF']), '/\\\\').'/register.php?error=notfree');
	exit;
}

//Tjek om længde af password er over 8
if (strlen($_POST['password'])<8) {
	header('Location: '.rtrim(dirname($_SERVER['PHP_SELF']), '/\\\\').'/register.php?error=notlong');
	exit;
}

// Tjek om brugernavn og password er ens
if ($_POST[username] == $_POST['password']) {
	header('Location: '.rtrim(dirname($_SERVER['PHP_SELF']), '/\\\\').'/register.php?error=equal');
	exit;
}

// Tjek om password er i dictionary.txt
if (strstr(file_get_contents("dictionary.txt"), $_POST['password']) != FALSE) {
	header('Location: '.rtrim(dirname($_SERVER['PHP_SELF']), '/\\\\').'/register.php?error=indic');
	exit;
}

// Forbered data
if($_POST['username'] && $_POST['password']){
$pass=$_POST['password'];
$salt=substr(sha1(uniqid(mt_rand(),true)),0,8);
$cryppass=sha1(sha1($salt).$pass);

//Indsæt data
mysql_query("INSERT INTO userlogin (username, salt, password) VALUES(".quote_smart($username).", ".quote_smart($salt).", ".quote_smart($cryppass).")") or
 die(mysql_error());
 header('Location: '.rtrim(dirname($_SERVER['PHP_SELF']), '/\\\\').'/index.php?msg=reg');
 exit;
}

else{
	header('Location: '.rtrim(dirname($_SERVER['PHP_SELF']), '/\\\\').'/register.php');
}
?>

Kode

<html>

<head>
	<title>Login</title>
</head>

<body>
	<h1>Login</h1>
	<h2>Indtast brugernavn og password</h2>
<?php
	if ($_GET["error"]=="wrong") {
		echo '<p style="color:red;">Forkert indtastet brugernavn og/eller password</p>';
	} elseif ($_GET["error"]=="notloggedin") {
		echo '<p style="color:red;">Den side du forsøgte at komme ind på kræver login</p>';
	}
?>
	<form method="post" action="check.php">
		<p>Brugernavn: </p>
		<input type='text' name='username' />
		<br><br>
		<p>Password: </p>
		<input type='password' name='password' />
		<br><br>
		<input type="submit" value="Log in" />
		<br><br><a href="index.php">Tilbage</a><br><br>
		<p>Copyleft: Sam Sepstrup Olesen 2008
	</form>
</body>

</html>

check.php

Kode

<?php
// Gør en variabel sikker
function quote_smart($value)
{
    if (get_magic_quotes_gpc()) {
        $value = stripslashes($value);
    }
    if (!is_numeric($value)) {
        $value = "'" . mysql_real_escape_string($value) . "'";
    }
    return $value;
}

// Sikre username mod farlige tegn
$match=array("&","<",">");
$replace=array("& # 3 8 ;","& # 6 0 ;","& # 6 2 ;"); // FJERN MELLEMRUMMENE I DENNE LINJE!! (udvikleren.dk laver koden om til tegn)
$username=str_replace($match,$replace,$_POST['username']);

// HUSK AT ÆNDRE DEN EFTER FØLGENDE LINJE TIL DIN EGEN DATABASE FORBINDELSE!!!
mysql_connect("localhost", "databasebrugernavn", "databasepassword"); mysql_select_db("database");

// Hent salt
$salt=mysql_query("SELECT salt FROM userlogin WHERE username=".quote_smart($username)) or die(mysql_error());

// Forberedelse af data
$pass=$_POST['password'];
$salt2=mysql_fetch_array($salt);
$cryppass=sha1(sha1($salt2['salt']).$pass);

// Sammenligning af password 
$result=mysql_query("SELECT NULL FROM userlogin WHERE username=".quote_smart($username)." AND password=".quote_smart($cryppass)) or die(mysql_error());
if (mysql_num_rows($result)>0){
	session_start();
	$_SESSION['username']=$username;
	$_SESSION['password']=$cryppass;
	header('Location: '.rtrim(dirname($_SERVER['PHP_SELF']), '/\\\\').'/file.php');
exit;
}
else
{
	header('Location: '.rtrim(dirname($_SERVER['PHP_SELF']), '/\\\\').'/login.php?error=wrong');
}
?>

file.php

Kode

<?php
function quote_smart($value)
{
    if (get_magic_quotes_gpc()) {
        $value = stripslashes($value);
    }
    if (!is_numeric($value)) {
        $value = "'" . mysql_real_escape_string($value) . "'";
    }
    return $value;
}
session_start();

// HUSK AT ÆNDRE DEN EFTER FØLGENDE LINJE TIL DIN EGEN DATABASE FORBINDELSE!!!
mysql_connect("localhost", "databasebrugernavn", "databasepassword"); mysql_select_db("database");

// Tjekker i session om man er logget ind
$result=mysql_query("SELECT NULL FROM userlogin WHERE username=".quote_smart($_SESSION['username'])." AND password=".quote_smart($_SESSION['password'])) or die(mysql_error());
if (mysql_num_rows($result)>0) {
	echo '<html>

<head>
	<title>Sikret side</title>
</head>

<body>
	<h2>Du er logget ind, '.$_SESSION['username'].'.</h2>
	<p>Denne sikrede side kan kun ses af registrerede brugere</p>
	<a href="index.php">Hovedmenu</a><br><br>
	<a href="logout.php">Log ud</a><br><br>
	<p>Copyleft: Sam Sepstrup Olesen 2008
</body>

</html>';
}
else
{
	header('Location: '.rtrim(dirname($_SERVER['PHP_SELF']), '/\\\\').'/login.php?error=notloggedin');
}
?>

logout.php

Kode

<?php
session_start();
session_destroy();
header('Location: '.rtrim(dirname($_SERVER['PHP_SELF']), '/\\\\').'/index.php');
?>

Eksempel på dictionary.txt (lav din egen eller hent http://sam.wep.dk/moduler/Login-System/dictionary.txt )

Kode

password
1234567890
qwertyuiopåasdfghjklæøzxcvbnm
fcmidtjylland
eksempel
dårligkode
jegvedhvordubor
udvikleren
administrator

Kode til oprettelse af SQL tabelen (du skal selv lave en database inden):

Kode

CREATE TABLE userlogin (
id MEDIUMINT NOT NULL AUTO_INCREMENT,
username CHAR(16) CHARACTER SET latin1 COLLATE latin1_general_cs NOT NULL,
salt CHAR(8) CHARACTER SET latin1 COLLATE latin1_general_cs NOT NULL,
password CHAR(40) CHARACTER SET latin1 COLLATE latin1_general_cs NOT NULL,
PRIMARY KEY (id)
);
CREATE UNIQUE INDEX username
ON userlogin (username);

Se systemet i funktion på http://sam.wep.dk/?s=Moduler&u=Login-System

Indlæg senest redigeret d. 19.08.2009 20:42 af Bruger #10584

40 svar postet i denne tråd vises herunder
7 indlæg har modtaget i alt 7 karma

Sorter efter stemmer Sorter efter dato

Bruger #5620 @ 26.02.08 23:35

1.500

hvorfor har du rettet i quote_smart til din login php, og hvorfor bruger du ikke quote_smart til den sidste query?

forbedringer:
du kan skrive LIMIT 1 på alle queries da username unikt i create. Du kan også lave username unik i din tabel. Jeg antar at begge vil stoppe gennemløb af tabellen hvis de finder bare en række.
laver en tildeling i sidste if sætning du ikke bruger til noget.

funktioner af samme navn bør altid gøre det samme uanset hvilken fil de bliver kaldt i. så undgår du at lave en fejl hvor du forventer en ting men får noget andet.

Bruger #11375 @ 27.02.08 10:40

Martin:

2. Har ikke ændret.. er du sikker på at det ikk er bedst at bruge sprintf(), har bare hørt et sted

3. alle variablerne i koden er strings, så mener ikk det er så vigtigt

4. har ikk fundet nogle fejl med SQL injections endnu, så hvis man ska komme ind i systemet ska man bruge et andet indput, har leget lidt på hackthissite.org
http://www.hackthissite.org/user/view/samolesen/

Hej Sam,

Pkt. 2 go 4: sprintf() bruges hvis du vil indsætte vilkårlig data, f.eks brugernavn, i en streng som er prædifineret.

Betragt dette eksempel:

Kode

// Her en end lidt extrem en hvor du rigtig kan se sprintf() absolute styrke - og måske også hvorfor man ikke skal bruge sprintf() i forbindelse med SQL. 

$strUserGreeting = "Hej %s, tak fordi du har logget ind! Du var sidst logget ind %s ";

$strUsername = "Homer Simpson";
$strDbLastVisit = "Tir. 26 Feb. 2008 kl: 08:26";

sprintf($strUserGreeting, $strUsername, $strDbLastVisit);

//
// Du kan også bruge sprintf() til datohåndtering
$sDato = sprintf("%d-%d-%d", $intYear, $intMonth, $intDay);

Pointen er, sprintf() bruges til data manipulation, og det eneste du ikke vil ha skal kunne ske midt i en sql sætning er nemlig data manipulation. Nu har du godt nok sikret dig lidt med din qoute_smart() -funktion men det er i sigselv ikke "nok" :-) Den beste sikkerhed er altid "keep it simple", derfor så vil jeg ikke anbefale dig at bruge sprintf() sammen med noget så vitalt som SQL-statements :-)

pkt. 3: Som jeg skrev tildig tidligere så er Ungarsk Notation (som det hedder at man skriver str, int. m.v i starten af sine variabler) et spørgsmål om smag og behag. For mig selv er jeg konsekvent og bruger det for det er min erfaring at hvis man vender tilbage til kode efter en ferie så glor man sig helt blind på tingene og famler efter sin project dokumentation. lol ;-)

koden gemmer username, salt og password:
Fx:

username: test

salt: 4daac29c

password(test): e95043fa6389555112b2829f3326c954cbf9f215

Jeg vil ikke anbefale dig at bruge så langt et password til bruger login, da det skal være noget som brugeren kan huske. Hvis du sørge for at holde disse mål, så vil jeg sige at din password sikkerhed at go nok.

- Password længde: 8 Characters bestående at store og små bogstaver og talene 0-9. Ingen tegn af nogen art.

Indlæg senest redigeret d. 27.02.2008 10:52 af Bruger #11375

Bruger #10216 @ 29.02.08 01:20

4.283

http://dk.php.net/manual/da/function.preg-match.php //PERL

http://dk.php.net/manual/da/function.ereg.php // POSIX

Og så kommer det næste spørgsmål, hvad er best? Smag og behag, endnu engang. Jeg vil sige POSIX, fordi POSIX er en standard, hvor imod PERL er sådan mere en PHP ting.

PHP folkene har allerede taget det valg. ereg udgår med PHP6...

Indlæg senest redigeret d. 29.02.2008 01:21 af Bruger #10216

Bruger #13243 @ 12.03.08 14:34

I create.php får jeg denne fejl :
Parse error: syntax error, unexpected '=' in C:\\Programmer\\xampp\\htdocs\\create.php on line 18

Og har ændret database connection.

Bruger #13514 @ 27.03.08 15:34

hvordan laver man sit eget spil ?

Bruger #13533 @ 31.03.08 10:27

Parse error: syntax error, unexpected '=' in C:\\wamp\\www\\create.php on line 18

Jeg får også den fejl selv om jeg har rettet database info.

Bruger #13410 @ 04.06.08 23:15

i SQL koden. Hvad gør "CREATE UNIQUE INDEX username
ON userlogin (username);" ???

Bruger #10584 @ 27.02.08 00:01

quote_smart: Jeg rettede det det fordi det ellers ikke var muligt at logge ind, vil prøve at finde fejlen.

Sidste quote_smart: En lille misser

LIMIT 1: Vil blive indsat.

Bruger #10584 @ 27.02.08 00:21

har gendannet det jeg havde ændret i quote_smart funktionen
har indsat quote_smart der hvor der manglede.
indsat limit 1

men nu virker koden ikk..

Bruger #11375 @ 27.02.08 00:27

At skrive LIMIT 1 i dine queries er ligegyldigt, hvis du har struktureret din Database sådan så at "usename" er unique behøver du ikke bekymre dig herom. Du skal selvfølgelig sørge for også at lave username checkup på applikations niveu også..

Forbedringer:

1. Sørg for at være konsekvent på betnævnelses området(variabler, funktioner, m.m). Brug enten Danske eller Engelske(fortrukket) benævnelser.
(Eg. <input type='text' name='brugernavn' />

2. Du får intet ud af at bruge sprintf() i forbindelse med dinne queries. I en applikation med rigtig mangere brugere vill sådan noget kunne downe preformance en smule. Her høster du ingen score ;-)

3. Angivelse af variable type. Nogen bruger det, nogen bruger det ikke. Personligt mener jeg at man skal bruge det fordi det gør ens kode mere læsbar og nemere at redigere/fejlfinde i. En lille liste. (e.g $strVariabelName = "").

- String: str
- Integer: int
- Global: glb(en php ting)
- Boolean: bool
- Ressource: res
- Double: dbl
- Object: obj

4. Hvor du har nogle få ting sådan som jer ser det, så høster du VIRKELIG på sikring af dinne queries mod SQL injections, dog kan det blieve endnu bedre, og jeg vil i den nærmeste fremtid poste en artikel om netop SQL injections og hvordan man forebygger dem. :-)

Bortset fra 4 ting, så har du lavet noget som er højst brugbart. Godt arbejde!

<< < 1 2 3 4 > >>

Opsummering af "100% sikkert login"

Karma barometer (30 dage)

Modtaget

Givet

Favorit hos
Forum tråde
Artikler