[youheardit]

Tjena!
Först nu har jag börjat tvivla eller inse att min egen skrivna funktion för inloggning inte är så bra som den MÅSTE vara.
Skrev den för ett år sen med hjälp av en tutorialsite.

Mina kunskaper om PHP har höjts rejält under året och först nu när jag lägger tanken på det så känns den inte så bra.

så här ser koderna ut:

PHP-kod:

if(isset($_POST['login'])){

include'../dbcon.php'; //databas uppkopplingen

$user=$_POST['user']; 
$pass=$_POST['pass'];


$user= stripslashes($user);
$pass= stripslashes($pass);
$user= mysql_real_escape_string($user);
$pass= mysql_real_escape_string($pass);


$sql="SELECT * FROM users WHERE user='$user' and pass='$pass'";
$result=mysql_query($sql);

$count=mysql_num_rows($result);

if($count==1){
$_SESSION['anv_id'] = mysql_result($result, 0, "id");
header("Location: sidan.php");
}
else {
die("Fel inloggningsuppgifter");
} 
} 


Frågan här är att jag är rädd för att det finns någon form av BOT som försöker ta sig in till administrationen genom att skicka POST begäran till filen tills den hittar rätt uppgifter..

Och nej, jag kör inte md5 på lösenorden än.. vill först fixa till systemet..

Tacksam för svar och idéer

Ha en trevlig afton!
//Philip Andersson!

[tartareandesire]

Att inte köra krypterade lösenord är nog faktiskt den största bristen i ditt system så det kan du nog fixa till Du kan lika gärna köra sha1 (+ salt, helst dubbla) också eftersom det inte medför något merarbete.

Trial and error kan givetvis alla botar köra, vill du stoppa den möjligheten får du blockera användaren efter ett visst antal felaktiga inloggningar. Huruvida det är lönt eller inte beror väl mest på hur känslig informationen i administrationen är.

Sedan beror det ju lite på hur kollen på administrationssidorna ser ut.

Stripslashes? Magic quotes? Ska du ha en magic quotes-koll så lägger du det lämpligtvis i en inkluderad funktion istället.

[SimonP]

Som sagt, du bör använda SHA1 + salt på lösenordet.

Nästa förbättring är att du lägger på ett till fält (INT) i databasen, kan kalla det för "tries", och för varje misslyckat lösenord ökar du och updaterar databasfältet tries med 1, vid t.ex. 5 misslyckade försök sätter du tries-fältet till (time() + 1800) (för 30 min. låstid)

Innan varje inloggning kollar du sen typ:
IF (tries > time() ) die('Your account has been locked due to too many failed login attempts')

Vissa grupper, t.ex Admin bör inte skyddas av tries-låsningen, annars kan någon medvetet låsa ute Admin.

Ovan är det enklaste och, med mina ögon, bästa sättet att hantera felaktiga inloggningar.

Vill man göra det ännu svårare för botar/hackers måste man skapa en separat tabell där man även kontrollerar antal försök per IP-nr.

[youheardit]

Tack för era svar, smarta idéer det som gäller är tillgången till mitt CMS på en hemsida. Finns en admin. Eftersom ni rekommenderar sha1+salt så ska jag köra på det.

Ni tror inte det skulle kunna passa med tex recaptcha innan varje inloggning? (ungefär 1gång om dagen)

eller kan bottar, hackers komma förbi den med på något vis?

Tackar igen för era svar!

[SimonP]

Citat:

Ursprungligen postat av youheardit

Ni tror inte det skulle kunna passa med tex recaptcha innan varje inloggning? (ungefär 1gång om dagen)

eller kan bottar, hackers komma förbi den med på något vis?

Tackar igen för era svar!

Jo, om det gäller ett CMS där det är få användare så räcker det nog bra med captcha.
Googla bara först så du vet att din captcha inte är "knäckt".

Edit: å andra sidan, eftersom det är få användare och om du har ett bra lösenord så behöver du ju inte göra nått? Det är ju inte så att nån kan bruteforca ett bra lösenord...

[Nihilnovi]

Lite simpel referenskod i ungefär samma login gjord i OOP fast me sha1 o salt.
Bör ej användas rakt av!!!

login.php

PHP-kod:

    $login = new Validate($_POST['username'],$_POST['password']);
    if($login->validateUser() != NULL) {
    session_start();
    $_SESSION['username'] = $_POST['username'];
    $getid = mysql_query("SELECT `id` FROM users WHERE `username` =  '{$_POST['username']}' LIMIT 1") or die("Database error.");
    $setid = mysql_fetch_object($getid);
    $_SESSION['id'] = $setid->id; 


validate.php

PHP-kod:

    class Validate {
        
        public $username;
        public $password;
        
        function __construct($username,$password) {
            
            $this->username = $username;
            $this->password = $password;
            
        }
        
        public function validateUser() {
                
            $sql = "SELECT * FROM users WHERE username = '$this->username'";
            $this->query = mysql_query($sql);
            
            if (!$this->query) {
                exit("Error");
                return FALSE;
            } else {
                
                $row = mysql_fetch_object($this->query);            
                $this->hashedpassword = sha1($this->password . $row->passsalt);
                if($row->password != $this->hashedpassword) {
                    return FALSE;
                } else {
                    return TRUE;
                }
            }            
        }
    } 


[Jonas]

Vad händer med din inloggning om jag inte har något att skicka? Dvs om $_POST['user'] är tom.
Detta beror helt och hållet på hur felhanteringen i php.ini & scriptet är inställd

[StateCollapse]

Ser inga fel, men du bör ju köra något slags:

PHP-kod:

$user= stripslashes($user);
$pass= stripslashes($pass);
$user= mysql_real_escape_string($user);
$pass= mysql_real_escape_string($pass); 


[sprite]

Humor från StateCollapse igen?

http://www.cout.se/php/918-inloggings-funktion-php.html

Han är väl admin på den sidan, eller har youheardit tagit över och blivit skitsofren?

[youheardit]

Citat:

Ursprungligen postat av StateCollapse

Ser inga fel, men du bör ju köra något slags:

PHP-kod:

$user= stripslashes($user);
$pass= stripslashes($pass);
$user= mysql_real_escape_string($user);
$pass= mysql_real_escape_string($pass); 


Kolla i koden på första posten

Och sen Sprite: Avstängd för tillfället...