Holder på å lage et adminområde til en side jeg holder på med, her er login formen:
Den er lagret som login.php
Så har jeg selve admin.php, som sjekker om brukeren finnes, og om passordet passer opp mot denne:
Dette var admin.php, håper alle forstår hva som skjer der.
Så var det spørsmålet, klarer dere å se noen sikkerhetsrisikoer her? Har sett over det er par ganger uten å finne noe opplagt.
Vet at nå må jeg ha ØVERST(?) på alle sider som skal være sikret...:
Det er sikkert en MYE enklere måte å sikre sidene på enn det et hakk over her, kanskje via en funksjon eller.no. Sier ikke nei til forslag til endringer der. Har også sett noen sider bruker session_id(?) i adressene sine, sikkert noe side.php". session_id(); .", men hva er formålet med det, og er det noe jeg bør implentere?
Men så så jeg dette på php.net:
Kilde: her
Vet ikke om det har så mye å si, fant lite også om hva som blir gale da. Håper hvertfall folk kan se igjennom skriptet og se om de finner noen opplagte feil, eller tips til forbedringer. Det fungerer hvertfall helt fint her nå
Kode
<form action="admin.php" method="post"> Brukernavn: <input type="text" name="user"><br> Passord: <input type="password" name="pass"><br> <input type="submit" value="Logg inn"> </form>
Så har jeg selve admin.php, som sjekker om brukeren finnes, og om passordet passer opp mot denne:
Kode
session_start(); mysql_connect("XXXXXXXX") or die("Kolbing til database er hindret!"); mysql_select_db("tore"); echo mysql_error(); if($_SERVER["REQUEST_METHOD"] == "POST") { $md5Pass = md5($_POST["pass"]); $result = mysql_query("SELECT * FROM russ_users WHERE users_name='".$_POST["user"]."' AND users_pass='".$md5Pass."'"); if(mysql_num_rows($result)) { session_register("innlogget"); print("Velkommen!"); echo "<br>Du er innlogget, <a href=admin/index.php>trykk her</a> for gå inn på området.<br>"; } else { print("Feil brukernavn eller passord!"); } }
Så var det spørsmålet, klarer dere å se noen sikkerhetsrisikoer her? Har sett over det er par ganger uten å finne noe opplagt.
Vet at nå må jeg ha ØVERST(?) på alle sider som skal være sikret...:
Kode
session_start(); if(isset($_SESSION["innlogget"])) { Hvis den er satt } else { Hvis den IKKE er satt. }
Men så så jeg dette på php.net:
If you are using $_SESSION (or $HTTP_SESSION_VARS), do not use session_register(), session_is_registered(), and session_unregister().
Vis hele sitatet...
Vet ikke om det har så mye å si, fant lite også om hva som blir gale da. Håper hvertfall folk kan se igjennom skriptet og se om de finner noen opplagte feil, eller tips til forbedringer. Det fungerer hvertfall helt fint her nå
Sist endret av tore-; 21. november 2003 kl. 00:06.