Benutzername und Passwort-überprüfung in php-mysql

Was ich im Stande sein will zu tun ist: Wenn ein Benutzer Ihre Benutzernamen und Ihr Passwort in das Formular auf der index.html Seite, wenn Sie mit dem übereinstimmen, was in der DB, dann bekommen Sie geschickt, um die nächste Seite; userlogin.php.
Wenn Sie Ihren Benutzernamen oder Ihr Passwort ist falsch, dann werden Sie gefragt, zu re-geben Sie Ihre details auf der index.html Seite, und zeigt eine Fehlermeldung wie, "Ihr Benutzername ist Falsch" oder "Ihr Kennwort ist Falsch" über den Formular-text-Feld. Ich kann fügen Sie diesen code, falls erforderlich.

Kann ich diesen text ändern schriftart, Farbe, rot zum Beispiel?

Dies ist der code, den ich derzeit für die userlogin.php Seite

<?php
mysql_connect("Server", "root", "Gen") or die("Couldn't select database.");
mysql_select_db("generator") or die("Couldn't select database.");

$username = $_POST['username'];
$password = $_POST['password'];

$sql = "SELECT * FROM users WHERE Username = '$username' AND Password = '$password' ";
$result = mysql_query($sql) or die(mysql_error());
$numrows = mysql_num_rows($result);
if($numrows > 0)
   {
    echo 'Your in';
   }
else
   {
    echo 'Your not in';
   }
   ?>
InformationsquelleAutor Mohan Kumar | 2011-09-01
  1. 13

    Gibt es da sooo viele Dinge falsch mit diesem code:

    1 - Sie haben eine SQL-injection-Loch.

    Wenn ich eingeben ' or 1=1 LIMIT 1 -- als Benutzername, ich bekomme immer Zugriff, egal was.

    Ändern Sie den code in. 

    $username = mysql_real_escape_string($_POST['username']); 
$password = mysql_real_escape_string($_POST['password']);

    Finden Sie unter: Wie sieht der SQL-injection aus dem "Bobby-Tabellen" XKCD comic arbeiten?

    2 - Sie speichern Sie das Passwort in das klare

    Dies ist ein großer Nein Nein. Kombiniert mit der SQL-injection hole, wird es dauern, ein hacker 5 Minuten, um eine Liste aller Benutzernamen und Passwörter auf Ihrer Website.

    Speichern die Passwörter als salted hash.

    Benutze ich gerne den username als salt.

    Speichern Sie die Passwort-hash mit: 

    INSERT INTO users (username, passhash) 
VALUES ('$username', SHA2(CONCAT('$password','$username'),512))

    Und testen Sie die Anmeldeinformationen des Benutzers verwenden:

    SELECT * FROM users 
WHERE username = '$username' AND 
passhash = SHA2(CONCAT('$password','$username'),512)

    Finden Sie unter: Der Secure-hash-und salt für PHP Passwörter

    Und: Was ist "salt", wenn in Bezug auf MYSQL sha1?

    BTW, verwenden Sie SHA2 mit einer 512 Schlüssellänge, SHA1 nicht mehr sicher, und MD5 ist auch mehr kaputt.

    3 - Eine Anmeldung kann immer nur ein match gegen 1 Benutzer

    Dieser code: 

    if($numrows > 0)

    Macht keinen Sinn, wenn man 2 Zeilen aus der Datenbank, das ist ein klares Zeichen das jemand gehackt hat Ihr system. Der test sollte sein: 

    if($numrows > 1) { //send email to sysadmin that my site has been hacked }
else if ($numrows = 0) { echo "wrong username or password" }
else { echo "welcome dr. Falken" }

    4 - Don ' T sterben, wenn es ein Fehler ist, eine routine aufrufen, um den Neustart der Verbindung oder etwas

    Diesem code: 

    $result = mysql_query($sql) or die(mysql_error());

    Ist in Ordnung bei der Prüfung, aber in der Produktion sollten Sie etwas tun, wie 

    $result = mysql_query($sql);
if ($result) {
  //do the deed
} else {
  //call error recovery routine
}

    The error recovery routine sollte die Verbindung zum server aus, melden Sie eine Fehler im Logbuch. Ist der Fehler nicht behoben werden kann, es sollte senden Sie eine E-Mail an den Systemadministrator und nur dann sterben die server aus.

    • eine Seite Frage, wie sicher ist das: foreach ( $_GET as $id => $Wert ) $_GET[$id] = mysql_real_escape_string ( $val ) ;
    • es gibt kein problem mit dem $_GET in deinem code, gibt es nur ein problem beim einfügen der $_GET in eine SQL-oder HTML-string. Im ersten Fall werden Sie brauchen, um über SQL-injection, in der letzteren, die Sie brauchen, um über XSS. Beide Probleme sind abgedeckt extensivly ALSO an, suchen Sie einfach nach [php] [xss] oder [php] [mysql] SQL injection auf stackoverflow.
    • Naja ich war da mit einem Freund und er sagte, das sollte halten Sie es sicher (zusammen mit der POST), aber ich bin im Zweifel. Ich weiß, über sql-injection-problem, die website, die ich einmal gemacht haben gehackt so.. habe vergessen zu filter einen Eingang
    • wenn Sie eine Frage haben, mit allen Mitteln Fragen, eine Frage ALSO, wieso benutzen Sie einen Kommentar zu bitten, mich eine bestimmte Frage ohne Kontext.
    • Ich denke nicht wirklich, dass es sich lohnt, eine Frage zu stellen
    InformationsquelleAutor Johan
  2. 2

    Zunächst dein code ist anfällig für SQL-injection -. Verwenden Sie PDO und prepared statements dieses Problem zu beheben. Sekunde alle, Sie sind anscheinend Speicherung von Benutzernamen unverschlüsselt. Dies ist sehr unsicher. Verwenden Sie eine - hashing-Funktion zum verschlüsseln der Passwörter und verschlüsselt das eingegebene Passwort vor dem ausführen der Abfrage, um ein match zu bekommen. Die Färbung der Ausgang ist einfach:

    echo '<span style="color:red">Your not in</span>';

    Und verwenden Sitzungen tatsächlich melden die Benutzer in. Nach der erfolgreichen Abfrage der user-Tabelle für die Benutzername/Passwort-Kombination, speichern Sie die zurückgegebenen user_id in der $_SESSION variable. Auf jede Seite, die gesichert werden muss, überprüfen Sie für die Existenz von $_SESSION['user_id']; wenn es nicht da ist, Ihre Benutzer anmelden muss, so umzuleiten, ihn auf die login-form.

    Sollte über den trick tun für dich 😉

    • Mit einem einfachen user_id als session-key ist ein klarer fail, es ist eine vorhersehbare integer, in der Regel laufen in eine Reihenfolge 1,2,3. Erstellen Sie eine einzigartige und zufällige session_id. Ich würde vorschlagen, mit: $session = hash('sha512', 'username'.$currentdate.$currenttime); Dies generiert eine eindeutige session_id für jede Sitzung, die eine Verbindung erraten werden.
    • Gut, ich war nicht darauf hindeutet, über die user_id als eine session-id... ich sagte, speichern die user_id in der session. Die session_id erzeugt durch PHP ist in Ordnung.
    InformationsquelleAutor Rijk
Schreibe einen Kommentar