php - Vurdering af login script. - Udvikleren.dk - Programmering, webdesign og grafik

Tags: php

<< < 1 2 > >>

Bruger #8018 @ 17.09.05 00:32

Hej.

Jeg er forholdsvis ny inden for emnet, så derfor beder jeg jer vurdere mit lille login system jeg har lavet til en personlig side.

Jeg har først og fremmest en form, som beder om brugernavn og adgangskode:

login.php:

Kode

<h1>Login</h1>
<p>Indtast dit personlige brugernavn og din adgangskode for at logge ind.</p>
<form action="scr/scr_login.php" method="post">
<p>Brugernavn:</p>
<p><input type="text" name="username"/></p>
<p>Adgangskode:</p>
<p><input type="password" name="password"/></p>
<p><input type="submit" name="submit" value="Login" class="submit"/></p>
</form>

Som I kan se sender den brugeren videre til scr_login.php som indeholder selve koden bag formularen.
scr_login.php forbinder sig til en mysql database og sammenligner det indtastede brugernavn og pass med dem som er i mysql tabellen.
Viser det sig at de indtastede informationer stemmer med en af dem i tabellen, sender den brugeren videre til siden auth. Passer de ikke, sender den brugeren videre til login_fejl siden som indeholder en fejl meddelelse samt en ny formular.

scr_login.php:

Kode

<?php
	// Skab forbindelse til mysql servern og vælg database:
	$conn = mysql_connect(localhost,xx,xx)
		or die('Kunne ikke forbinde til MySQL serveren: '.mysql_error());
	mysql_select_db("firmwire_dk");
	
	// Opbyg og udsted forespørgsel:
	$sql = "SELECT fullN FROM users WHERE userN = '$_POST[username]' AND userP = password('$_POST[password]')";
	$result = mysql_query($sql,$conn) or die('Der opstod en fejl: '.mysql_error());
	if(mysql_num_rows($result) == 1) {
		session_start();
		$_SESSION[user] = $_POST[username];
		header("Location: ../index.php?page=auth");
	} else {
		header("Location: ../index.php?page=login_fejl");
	}
?>

auth:

Kode

<?php
	if(isset($_SESSION[user])) {
		echo "Du er logget ind som: ".$_SESSION[user];
	} else {
		echo "Du er ikke logget ind.";
	}
?>

Note: sessionen starter [session_start();] på en anden side hvor auth er inkluderet.

login_fejl:

Kode

<h1>Login</h1>
<p>Indtast dit personlige brugernavn og din adgangskode for at logge ind.</p>

<p class="fejl">* Du indtastede et forkert brugernavn eller adgangskode.</p>
<p>Prøv igen:</p>
<form action="scr/scr_login.php" method="post">
	<p>Brugernavn:</p>
	<p><input type="text" name="username"/></p>
	<p>Adgangskode:</p>
	<p><input type="password" name="password"/></p>
	<p><input type="submit" name="submit" value="Login" class="submit"/></p>
</form>

Ikke så relavant for systemet, men nu har i den

Jeg håber jeg har givet nok information til i kan vurdere det. Måske der er noget som kan gøres smartere eller mere sikkert?
Hele systemet virker som det skal.

[Redigeret d. 17/09-05 00:33:10 af Tommy Jakobsen]

[Redigeret d. 17/09-05 00:34:42 af Tommy Jakobsen]

12 svar postet i denne tråd vises herunder
4 indlæg har modtaget i alt 4 karma

Sorter efter stemmer Sorter efter dato

Bruger #8018 @ 18.09.05 16:02

Tak for de mange svar.

Nå, men sagen er den at du bør slå magic_quotes fra og proppe mysql_escape_string rundt om brugernavnet og adgangskoden i din query.

Jeg kan desværre ikke slå magic quotes fra på min server.
Jeg kiggede lidt på funktionen mysql_real_escape_string og fandt frem til funktionen quote_smart

Kode

function quote_smart($value)
{
   // Stripslashes
   if (get_magic_quotes_gpc()) {
       $value = stripslashes($value);
   }
   // Quote hvis det ikke er et heltal
   if (!is_numeric($value)) {
       $value = "'" . mysql_real_escape_string($value) . "'";
   }
   return $value;
}

som er taget fra et af eksemplerne på php.net.
Efter hvad jeg kan se skulle den også løse problemet med magic quotes?

Sætter jeg det ind i mit script - og tilpasser det, kommer den bare med en fejl som hvis jeg havde tastet brugernavn eller pass forkert.

Mit script ser nu sådan her ud:

Kode

<?php
	function quote_smart($value) {
	   // Stripslashes
	   if (get_magic_quotes_gpc()) {
	       $value = stripslashes($value);
	   }
	   // Quote hvis det ikke er et heltal
	   if (!is_numeric($value)) {
	       $value = "'" . mysql_real_escape_string($value) . "'";
	   }
	   return $value;
	}

	// Skab forbindelse til mysql servern og vælg database:
	$conn = mysql_connect(localhost,firmwire_dk,firmwire2005)
		or die('Kunne ikke forbinde til MySQL serveren.');
	mysql_select_db("firmwire_dk");
	
	// Opbyg og udsted forespørgsel:
	$sql = sprintf("SELECT fullN FROM users WHERE userN=%s AND userP=%s",
		quote_smart($_POST['username']),
		quote_smart($_POST['password']));

	$result = mysql_query($sql,$conn) or die('Der opstod en fejl.');
	
	if(mysql_num_rows($result) == 1) {
		session_start();
		$_SESSION['user'] = $_POST['username'];
		header("Location: ../index.php?page=auth");
	} else {
		header("Location: ../index.php?page=login_fejl");
	}
?>

Noget i kan hjælpe med? :-)

Mvh. Tommy

[Redigeret d. 18/09-05 16:04:02 af Tommy Jakobsen]

Bruger #3143 @ 18.09.05 20:29

1.965

Prøv at udskrive $sql, og se hvad der står i den

<< < 1 2 > >>

Vurdering af login script.

Karma barometer (30 dage)

Modtaget

Givet

Favorit hos
Forum tråde
Artikler