ייעול קוד | טופס בדיקת התחברות

Jonthan ZeiermaN · 2015 בינואר 5

שלום,

אני מנסה לחשוב על ייעול הקוד אימות התחברות שלי, אשמח להצעות ייעול / שיפור / אבטחה ולביקורת בונה.

 <?php
###################################################################
##                     Strating Sessions.                        ##
###################################################################
session_start();
###################################################################
##                Set Cases For Functions.                       ##
###################################################################
switch ($_GET['page'])
{
    case 'login':
        login();
        break;

    default:
        login();
        break;
}
###################################################
    $security_code = rand(000000,999999);        ##
    $_SESSION['security_code'] = $security_code; ##
###################################################################
##                    Strating Login Function.                   ##
###################################################################
function Login()
{
    ################################################################################################
    ##                             Require A DB Connection File.                                  ##
    ################################################################################################
    require_once ('db/connect.php');                                                              ##
    ################################################################################################
   if (isset($_POST['login_check']))
   {
        ################################################################################################
        ##                                        Variables.                                          ##
        ################################################################################################
        $user = mysql_real_escape_string(htmlspecialchars($_POST['user']));                           ##
        $pass = mysql_real_escape_string(htmlspecialchars(md5($_POST['pass'])));                      ##
        $query = ("SELECT password, groups FROM users WHERE user = '".$user."'");                     ##
        $result = mysql_query($query)    or die("Mysql Getting The Next Error:" . mysql_error());     ##
        ################################################################################################
        if ($row = mysql_fetch_array($result))
        {
            if($row['password'] == $pass && $_SESSION['security_code'] == $_POST['security_code_check'] && $row['groups'] == 1)
            {
                $_SESSION['user'] = $user;
                $_SESSION['pass'] = $pass;
                $_SESSION['groups'] = $_SESSION['groups'] + 1;
                header('Location: index.php?page=Administrators');
            }
            if($row['password'] == $pass && $_SESSION['security_code'] == $_POST['security_code_check'] && $row['groups'] == 2)
            {
                $_SESSION['user'] = $user;
                $_SESSION['pass'] = $pass;
                $_SESSION['groups'] = $_SESSION['groups'] + 2;
                header('Location: index.php?page=Administrators_Deputys');
            }
            if($row['password'] == $pass && $_SESSION['security_code'] == $_POST['security_code_check'] && $row['groups'] == 3)
            {
                $_SESSION['user'] = $user;
                $_SESSION['pass'] = $pass;
                $_SESSION['groups'] = $_SESSION['groups'] + 3;
                header('Location: index.php?page=Workers');
            }
                mysql_close($db_connection); //Closing The Db Connection.
        }
        if(htmlspecialchars($_POST['user']) =='' || htmlspecialchars($_POST['pass'])=='' || htmlspecialchars($_POST['security_code_check'])=='')
        {
        echo 'אנא מלא את כל השדות';
        }
        else
        {
        echo 'שם משתמש ואו סיסמא שגויים';
        }
    }
}
?>

תודה, יונתן.

needacomp · 2015 בינואר 5

לא יודע לגבי יעול, אבל תקרא על SALT ועל למה לא להשתמש ב MD5, שניהם בהקשר של סיסמא.

שניצל · 2015 בינואר 6

עדיף גם להשתמש ב-prepared statements עם פרמטרים במקום לבנות את השאילתא דינמית עם ב-mysql_real_escape_string.

http://php.net/manual/en/mysqli.prepare.php

http://stackoverflow.com/questions/1290975/how-to-create-a-secure-mysql-prepared-statement-in-php

התחברות

ייעול קוד | טופס בדיקת התחברות

Recommended Posts

Jonthan ZeiermaN

קישור לתוכן

שתף באתרים אחרים

needacomp

קישור לתוכן

שתף באתרים אחרים

שניצל

קישור לתוכן

שתף באתרים אחרים

ארכיון

דיונים חדשים

שאלה בקשר לרשת ביתית

12 משחקים חינמיים ב-Steam שאתם לא רוצים לפספס

תרחיש עלטה / הפסקות חשמל

מה אתם אומרים יהיה מסך הגיימינג המומלץ?

המארז הקטן ביותר

כתבות אחרונות

12 משחקים חינמיים ב-Steam שאתם לא רוצים לפספס

2024-06-30

צעד אחד יותר מדי? ספקית אינטרנט שתלה בכוונה וירוסים במחשבים של משתמשי טורנטים

2024-06-27

גנגסטרים אמיתיים עיצבו מחדש את הדיאלוגים ב-GTA San Andreas: כשהמציאות פוגשת את עולם המשחקים

2024-06-22

פרצת אבטחה חמורה במעבדי אינטל: עלולה להשפיע על מאות דגמי מחשבים

מהלך דרמטי בצרפת: גוגל, קלאודפלייר וסיסקו נאלצות לחסום גישה לאתרי פיראטיות

2024-06-18

פירצת אבטחה חמורה ב-Windows: האקרים יכולים לחדור למחשב שלכם דרך רשתות Wi-Fi

2024-06-17

מבצעים מרחבי הרשת

הכי נצפה

ראשי

מה חדש?