php - Er min sikkerhed optimal for opret bruger og login? - Udvikleren.dk

Tags: php

Bruger #14124 @ 21.09.09 15:46

Hejsa, jeg tænkte på om der er nogen der vil se på mit opret bruger, og login, og se om min sikkerhed er optimal?

Opretbruger.php

PHP kode

 <?
 include 'top.php';
 
 ?>
 <form action="opretbruger_ok.php" method="post">
 
 <table width="740" border="0">
   <tr>
     <td width="329">Email:</td>
     <td width="401"><input type="text" name="email"></td>
   </tr>
   <tr>
     <td>Kodeord:</td>
     <td><input type="password" name="kode1"></td>
   </tr>
   <tr>
     <td>Gentag kodeord: </td>
     <td><input type="password" name="kode2"></td>
   </tr>
   <tr>
     <td>&nbsp;</td>
     <td>&nbsp;</td>
   </tr>
   <tr>
     <td>F&oslash;dselsdato:</td>
     <td>
     <select name="dag">
     <option>Fødselsdato</option>
     <?php
 $dato = 1;
 while($dato <= 31) {
 echo "<option value=\"$dato\">$dato</option>";
 $dato++;
 }
 ?>
     </select>
     
     <select name="maaned">
     <option>Måned</option>
 <option value="1">Januar</option>
 <option value="2">Februar</option>
 <option value="3">Marts</option>
 <option value="4">April</option>
 <option value="5">Maj</option>
 <option value="6">Juni</option>
 <option value="7">Juli</option>
 <option value="8">August</option>
 <option value="9">September</option>
 <option value="10">Oktober</option>
 <option value="11">November</option>
 <option value="12">December</option>
 </select> 
 
 <select name="aar">
 <option>År</option>
 <?php
 $detteAar = date('Y'); 
 $aar = 1901;
 while($aar <= $detteAar) {
 echo "<option value=\"$aar\">$aar</option>";
 $aar++;
 }
 ?>
 </select>
     </td>
   </tr>
   <tr>
     <td>&nbsp;</td>
     <td>&nbsp;</td>
   </tr>
   <tr>
     <td>Jeg acceptere <a href="betingelser.php" target="_blank">betingelserne:</a></td>
     <td><input type="checkbox" name="betingelser"></td>
   </tr>
 </table>
 
 
 <input type="submit" value="Opret bruger">
 
 
 </form>
 
 <?
 include 'bund.php';
 ?>

opretbruger_ok.php

PHP kode

 <?php 
 include 'top.php';
 
 include 'config.php';
 
 $ip = $_SERVER['REMOTE_ADDR'];
 $email =  htmlspecialchars(mysql_escape_string($_REQUEST['email']));
 $kode1 =  htmlspecialchars(mysql_escape_string($_REQUEST['kode1']));
 $kode2 =  htmlspecialchars(mysql_escape_string($_REQUEST['kode2']));
 $dag =  htmlspecialchars(mysql_escape_string($_REQUEST['dag']));
 $maaned =  htmlspecialchars(mysql_escape_string($_REQUEST['maaned']));
 $aar =  htmlspecialchars(mysql_escape_string($_REQUEST['aar']));
 
 
 if(isset($_SESSION['henvisningsid'])) {
 
 $henvis = htmlspecialchars(mysql_escape_string($_SESSION['henvisningsid']));
 
 }
 
 
 
 if (isset($_POST['betingelser'])) {
 
 $law3 = mysql_query("SELECT * FROM bio_brugere WHERE email = '$email'");
 $anmad = mysql_num_rows($law3);
 
 if($email == "") {
 
 echo 'Du har ikke skrevet nogen email';
 
 include 'bund.php';
 
 exit;
 
 }else 
 
 if (substr_count($email,'@')==0) {
 echo("Ugyldig email");
 
 include 'bund.php';
 
 exit;
 }else
 
 if(substr_count($email, '.') ==0) {
 
 echo 'Ugyldig email';
 
 include 'bund.php';
 
 exit;
 
 }
 
 else
 
 if($anmad >= '1') {
 
 echo 'Emailen er allerede registreret på en anden bruger, har du glemt din kode, så klik <a href="glemtkode.php">her</a>.';
 
 include 'bund.php';
 
 exit;
 
 }else
 
 if($kode1 == "" OR $kode2 == "") {
 
 echo 'Du har ikke ufyldt alle felter';
 
 include 'bund.php';
 
 exit;
 
 }else
 
 if($kode1 != $kode2) {
 
 echo 'De 2 koder var ikke ens.';
 
 include 'bund.php';
 
 exit;
 
 }else{
 
 $kode3 = md5($kode2);
 
 if(isset($_SESSION['henvisningsid'])) {
 
 mysql_query("INSERT INTO bio_brugere (email, kodeord, fornavn, efternavn, dag, maaned, aar, ip, henvisning)values('$email', '$kode3', '$fornavn', '$efternavn', '$dag', '$maaned', '$aar', '$ip', '$henvis')");
 
 }else{
 mysql_query("INSERT INTO bio_brugere (email, kodeord, fornavn, efternavn, dag, maaned, aar, ip)values('$email', '$kode3', '$fornavn', '$efternavn', '$dag', '$maaned', '$aar', '$ip')");
 
 }
 $modtager = "$email";
 $emne = "Tillykke med din nye bruger på BioTur.dk"; 
 
 
 $besked = "Tillykke med din nye bruger på BioTur.dk - Vi håber du vil få meget glæde af siden.<br />
 Vi vil gerne forære dig dine første 10 point, hvis du udfylder din profil. <br />
 Har du spørgsmål vedrørende BioTur.dk, så skal du være meget velkommen til at skrive til vores support mail support@mr-inc.dk.
 
 
 <br /><br />Venlig Hilsen<br /> Biotur.dk
 ";
 
 $header  = "MIME-Version: 1.0" . "\r\n"; 
 $header .= "Content-type: text/html; charset=iso-8859-1" . "\r\n"; 
 $header .= "from:noreply@mr-inc.dk"; 
 
 mail($modtager, $emne, $besked, $header);
 
 echo 'Din bruger er nu oprettet. Log ind til venstre.';
 
 }
 
 }else{
     
     echo 'Du bliver nød til at acceptere betingelserne, for at kunne oprette dig som bruger på Biotur.dk';
 }
 
 include 'bund.php';
 
 ?>]

PHP kode

 <?
 session_start();
 
 include 'config.php';
 
 $email = htmlspecialchars(mysql_escape_string($_REQUEST['email'])); 
 $kode = htmlspecialchars(mysql_escape_string($_REQUEST['kode']));
 $kode1 = md5($kode);
 $ip = $_SERVER['REMOTE_ADDR'];
 
 if($email == "" or $kode == "") {
     
     print "<meta http-equiv=\"refresh\" content=\"0;url=index.php?mode=intet\">";
     
 }else
 {
     
     
     $bruger = mysql_query("SELECT * FROM bio_brugere WHERE email = '$email'");
     $antal = mysql_num_rows($bruger);
     
     if($antal == "0")
     {
         
         print "<meta http-equiv=\"refresh\" content=\"0;url=index.php?mode=error\">";
     }
     else
     {
         
         $vis = mysql_fetch_assoc($bruger);
         
         if($kode1 != $vis['kodeord'])
         {
             
             print "<meta http-equiv=\"refresh\" content=\"0;url=index.php?mode=kodeerror\">";
             
         }
         else
         {
             
             $_SESSION[email] = $email;
             $_SESSION[kodeord] = $kode;
             $_SESSION[id] = $vis['id'];
             mysql_query("UPDATE bio_brugere SET ip = '$ip' WHERE email = '$email'");
             
             print "<meta http-equiv=\"refresh\" content=\"0;url=brugerindex.php\">";
             }
             
         }
         
     }
 
 ?>

Indlæg senest redigeret d. 21.09.2009 15:46 af Bruger #14124

Bruger #2695 @ 21.09.09 16:07

1.963

Du bør lige tjekke om magic quotes er enabled, og i så fald unescape dine brugerdata, inden du escaper dem med mysql_escape_string. Men faktisk bør du bruge mysql_real_escape_string, som tager højde for det karakter sæt, som mysql serveren bruger.

Derudover bør du ikke bruge htmlspecialchars på data, som skal i databasen. Brug den hellere på dataene inden du skriver dem tilbage til brugeren.

Og så skal du også escape IP adressen, som du henter gennem $_SERVER['REMOTE_ADDR'], da du ellers åbner for SQL injections.

Dit tjek af e-mail adressens gyldighed er efter min mening lige lidt for simpel.

Bruger #14124 @ 21.09.09 17:58

205

magic quotes, kan jeg få den på dansk?

Hvad mener du med unescape?
Hvad kan der ske ved at jeg ikke tjekker ip´en, den kan vel ikke ændres til noget farligt?

Bruger #2695 @ 21.09.09 21:16

1.963

magic quotes, kan jeg få den på dansk?

Hvad mener du med unescape?
Hvad kan der ske ved at jeg ikke tjekker ip´en, den kan vel ikke ændres til noget farligt?

Magic quotes:
Post variable, get variable og cookies bliver automatisk escapet af PHP hvis magic quotes er enabled. Altså for at gøre mysql_escape_string/mysql_real_escape_string overflødig. Men det bliver ikke gjort helt korrekt i alle tilfælde, der er mysql bedre til det selv. Så hvis magic quotes er enabled, så skal du først unescape dine variable:

Kode

if (get_magic_quotes_gpc()) {
    function stripslashes_deep($value)
    {
        $value = is_array($value) ?
                    array_map('stripslashes_deep', $value) :
                    stripslashes($value);

        return $value;
    }

    $_POST = array_map('stripslashes_deep', $_POST);
    $_GET = array_map('stripslashes_deep', $_GET);
    $_COOKIE = array_map('stripslashes_deep', $_COOKIE);
    $_REQUEST = array_map('stripslashes_deep', $_REQUEST);
}

Læs mere her: http://dk2.php.net/manual/en/security.magicquotes.php

Mht. IP adressen, så KAN man faktisk ændre den. PHP sætter $_SERVER['REMOTE_ADDRESS'] til IP adressen, som bruges til kommunikation med klienten ELLER til værdien af x-forwarded-for HTTP headeren. X-forwarded-for bruges af proxy servere til at indikere IP adressen af klienten, som proxyen arbejder for. Men PHP tjekker ikke, at værdien giver mening, så man kan smide hvad som helst i denne header. Derfor skal også denne værdi anses for at være farlig.

Indlæg senest redigeret d. 21.09.2009 21:17 af Bruger #2695

Er min sikkerhed optimal for opret bruger og login?

Karma barometer (30 dage)

Modtaget

Givet

Favorit hos
Forum tråde
Artikler