php - Login virker, men nemt at snyde! - Udvikleren.dk - Programmering, webdesign og grafik

Tags: php

<< < 1 2 > >>

Bruger #8021 @ 28.10.05 19:31

Davs
Har lavet et lille login system som bruger database. Login virker fint, men det kan omgås ved at skrive en direkte url til en af de sider som skal beskyttes. Hvordan løser jeg det problem?
Anders!

14 svar postet i denne tråd vises herunder
4 indlæg har modtaget i alt 4 karma

Sorter efter stemmer Sorter efter dato

Bruger #7603 @ 28.10.05 20:00

du kan joh bruge session og tjekke om brugeren er ha ´t angivet et korrekt brugernavn
(.\\'~[veile]~\\'.)

Bruger #5910 @ 28.10.05 20:16

Den nemmeste methoede er at tjekke om brugern kommer fra login formen med denne kode :

Kode

if(empty($brugernavn)) {
	echo 'Denne side kræver login adgang'; }

Alt REQUESTE og se om brugernavn og / eller password delen er udfyldt elles kommer siden ikke frem

Bruger #65 @ 28.10.05 22:47

539

Når det så er bekræftet smider den som i kan se, brugeren videre til indholdet.
Anders!

På indeholdes siden, tjekker ud om den session du satte på login siden eksiter og har den rigitge værdi.

går ud fra at du allerede havde tjkket om felterne er uddfyldt og om de er uddfyld med gyldige brugernavn og password.

-Thomas
**************************************
Hvis mennesker er så kloge, hvorfor ødelægger
vi så os selv og den verden vil lever i?
**************************************
I mod softwarer patenter
http://www.nosoftwarepatents.com/

-------------------------------------------------------
Visual Basic noget for dig?
tjek Visual Basic-Gruppen
http://www.udvikleren.dk/groups/?gid=41

Bruger #6045 @ 29.10.05 00:00

Davs
Har lavet et lille login system som bruger database. Login virker fint, men det kan omgås ved at skrive en direkte url til en af de sider som skal beskyttes. Hvordan løser jeg det problem?
Anders!

i undervisningen på min skole har vi nettop lavet et login system med php md5 og sessions dette er forholdsvist sikert. men alt er jo relativt.

jeg har ikke benytter database af den grund at min free host ikk eunderstøttede det men du burde kunne bruge noget af det. du kan få koden fra min side og se om det kan hjælpe dig.

håber det hjælper dig

Bruger #8021 @ 28.10.05 19:58

Davs
Har lavet et lille login system som bruger database. Login virker fint, men det kan omgås ved at skrive en direkte url til en af de sider som skal beskyttes. Hvordan løser jeg det problem?
Anders!

Jeg skal på en eller anden måde sørge for at man kune kan komme ind til de beskyttede sider, hvis man kommer fra selve login siden, nogen som kan hjælpe?
Anders!

Bruger #2034 @ 28.10.05 20:00

459

Ved login kan du evt. sætte en cookie eller session.
På beskyttede sider undersøges om denne cookie eller session er sat, og i så fald om den indeholder de nødvendige informationer.

Bruger #8021 @ 28.10.05 20:22

Den nemmeste methoede er at tjekke om brugern kommer fra login formen med denne kode :

Kode
if(empty($brugernavn)) {
	echo 'Denne side kræver login adgang'; }
Alt REQUESTE og se om brugernavn og / eller password delen er udfyldt elles kommer siden ikke frem

Altå det script som tjekker user, pass tomme felter osv ser sådan her ud lige nu:

Kode

<?php
require("config1.php");
$login = &$HTTP_POST_VARS['login'];
if(empty($login)) {
echo 'Denne side kræver login adgang.'; }
else {
$brugernavn = &$HTTP_POST_VARS['brugernavn'];
$password = &$HTTP_POST_VARS['password'];
if(empty($brugernavn) OR empty($password)) {
echo 'Et af felterne er tomme'; }	
else {
mysql_connect($mysql_host, $mysql_user, $mysql_pw);
mysql_select_db($mysql_db);
$result_user = mysql_query("select brugernavn from admin where brugernavn = '$brugernavn'")
or die (mysql_error()); 
$result_pw = mysql_query("select password from admin where password = '$password'")
or die (mysql_error());
$array_user = mysql_fetch_array($result_user);
$array_pw = mysql_fetch_array($result_pw);
if($array_user['brugernavn'] == $brugernavn AND $array_pw['password'] == $password) {
echo '<META HTTP-EQUIV="refresh" content="0.5;URL=login.php">';
}
else {
echo 'forkert password, prøv igen.';
}
}
}
?>

Selve login formen ser sådan her ud:

Kode

<form action="login-ok.php" method="post">
Brugernavn:
input type="text" name="brugernavn"><br/>
Password: 
input type="password" name="password"><br/><br/>
input type="submit" name="login" value="Login">
</form>

Anders!

Bruger #8021 @ 28.10.05 20:25

Når det så er bekræftet smider den som i kan se, brugeren videre til indholdet.
Anders!

Bruger #4734 @ 28.10.05 22:44

skal godt nok lige siges, at det efterhånden er lang tid siden jeg har rodet med PHP, men det ser jo rigtigt ud. Har du husket at sætte den til at checke brugernavn og password på de andre sider?

Mvh...
Allan Nørgaard Kristensen

Bruger #8021 @ 28.10.05 23:17

skal godt nok lige siges, at det efterhånden er lang tid siden jeg har rodet med PHP, men det ser jo rigtigt ud. Har du husket at sætte den til at checke brugernavn og password på de andre sider?

Mvh...
Allan Nørgaard Kristensen

Det er jeg faktisk slet ikke sikker på. Når man har logget ind bliver man smidt videre til et CMS, og har ikke smidt noget kode derinde efter jeg har lavet login. Hvordan ser den kode ud som skal i min login.php? <-- det hedder den php fil som indeholder mit CMS.
Anders!

<< < 1 2 > >>

Login virker, men nemt at snyde!

Karma barometer (30 dage)

Modtaget

Givet

Favorit hos
Forum tråde
Artikler