forum.opennet.ru - "Аутентификация" (10)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Аутентификация"

Форумы WEB технологии (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Аутентификация"
Сообщение от zpilier (ok) on 21-Сен-04, 15:06 (MSK)
день добрый такая ситуация делаю страницу(пусть index.php) с формой логин пасворд method=get на другой странице (пусть main.php) по логину вытягиваю из базы пароль сравниваю если совпадает то идем дальше если нет то стоп но если обратится сразу к main.php т.е в браузере набрать http://localhost/main.php то загружается так как будто аутентификация прошла успешно. чем может быть проблема ? если в форму вводишь неправильный пароль то он отсылает(выдает предупреждающую надпись). спасибо
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

Аутентификация, Lucky, 15:15 , 21-Сен-04, (1)
- Аутентификация, zpilier, 15:26 , 21-Сен-04, (2)
  - Аутентификация, Lucky, 15:42 , 21-Сен-04, (3)
    - Аутентификация, zpilier, 15:54 , 21-Сен-04, (4)
      - Аутентификация, Lucky, 16:00 , 21-Сен-04, (5)
        
        Аутентификация, Lucky, 16:02 , 21-Сен-04, (6)
        
        Аутентификация, zpilier, 16:09 , 21-Сен-04, (7)
        
        Аутентификация, Lucky, 16:15 , 21-Сен-04, (8)
        Аутентификация, zpilier, 16:16 , 21-Сен-04, (9)
        Аутентификация, Maxim Kuznetsov, 02:25 , 22-Сен-04, (10)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Аутентификация"

Сообщение от Lucky (??) on 21-Сен-04, 15:15  (MSK)

>день добрый
>такая ситуация
>делаю страницу(пусть index.php) с формой логин пасворд method=get
>на другой странице (пусть main.php) по логину вытягиваю из базы пароль
>сравниваю если совпадает то идем дальше если нет то стоп
>но если обратится сразу к main.php т.е в браузере набрать
>http://localhost/main.php то загружается так как будто аутентификация прошла успешно.  чем может
>быть проблема ?
>если в форму вводишь неправильный пароль то он отсылает(выдает предупреждающую надпись).
>спасибо

а зачем GET? POST используй
и проверять надо лоин и пароль в связке.

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Аутентификация"

Сообщение от zpilier (ok) on 21-Сен-04, 15:26  (MSK)

>а зачем GET? POST используй
>и проверять надо лоин и пароль в связке.
я в связке и проверяю
я ж говорю когда с в форму вводишь непральный логин и пароль
он отсылает т.е проверка срабатывает

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Аутентификация"

Сообщение от Lucky (??) on 21-Сен-04, 15:42  (MSK)

>>а зачем GET? POST используй
>>и проверять надо лоин и пароль в связке.
>я в связке и проверяю
>я ж говорю когда с в форму вводишь непральный логин и пароль
>
>он отсылает т.е проверка срабатывает

телепатов нет )) надо код глядеть

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Аутентификация"

Сообщение от zpilier (ok) on 21-Сен-04, 15:54  (MSK)

>телепатов нет )) надо код глядеть
//форма в index.php
<form name="aunthentification" method=post action="main.php">
Login :<center><input name="login" type="text"><br>
password :<center><input name="passw" type="password"><br><br>
<input name="enter" type="submit" value="Enter">
</form>
//запрос  в main.php
$link = mysql_connect("$host","$user","$password") or die("Could not connect");
mysql_select_db("traffic") or die("Could not select database");
$query = "SELECT passw ,login FROM users WHERE login='$login'";
$result = mysql_query($query) or die("Query failed");
$line = mysql_fetch_object($result);
$p=$line->passw;
$l=$line->login;
if(($login==$l)>0){
if(($passw==$p)>0){
print "<frameset cols=\"20%,80%\">";
print "<frame src=\"list_ip.php\"?login=$login name=\"frame1\"";
print "<frame src=\"select_data_source.php\" name=\"frame2\"";
print "</frameset>";
}
}
echo("Неправильно введен пароль или логин");

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Аутентификация"

Сообщение от Lucky (??) on 21-Сен-04, 16:00  (MSK)

>>телепатов нет )) надо код глядеть
>//форма в index.php
><form name="aunthentification" method=post action="main.php">
>Login :<center><input name="login" type="text"><br>
>password :<center><input name="passw" type="password"><br><br>
><input name="enter" type="submit" value="Enter">
></form>
C этим вроде все в порядке.
>
>//запрос  в main.php
>$link = mysql_connect("$host","$user","$password") or die("Could not connect");
>mysql_select_db("traffic") or die("Could not select database");
1) для начала проверь, что у тебя приходит в твой скрипт, т.е. что логин и пароль не пустые
2) необхимо поверять также, что сервер добавляет слэши для спецсиволов иначе это дыра в безоапсности
>$query = "SELECT passw ,login FROM users WHERE login='$login'";
а пасс то почему не проверяешь?
$query = "SELECT passw ,login FROM users WHERE login='$login' and passw='$passwd'";
>$result = mysql_query($query) or die("Query failed");
>$line = mysql_fetch_object($result);
>$p=$line->passw;
>$l=$line->login;
>
>if(($login==$l)>0){
>if(($passw==$p)>0){
>
>print "<frameset cols=\"20%,80%\">";
>print "<frame src=\"list_ip.php\"?login=$login name=\"frame1\"";
А вот здесь интересно. никогда так не делай. после проверки аутентификации стартуй сессию и потом проверяй по сессии.
>print "<frame src=\"select_data_source.php\" name=\"frame2\"";
>print "</frameset>";
>}
>}
>echo("Неправильно введен пароль или логин");

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Аутентификация"

Сообщение от Lucky (??) on 21-Сен-04, 16:02  (MSK)

Вдогонку - еще будет более здорово, если ты не будешь хранить пароли в БД в открытом виде. лучше хранить хэши от них.
для этого есть crypt и md5.

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Аутентификация"

Сообщение от zpilier (ok) on 21-Сен-04, 16:09  (MSK)

>Вдогонку - еще будет более здорово, если ты не будешь хранить пароли
>в БД в открытом виде. лучше хранить хэши от них.
>для этого есть crypt и md5.
спасибо
насчет открытых паролей
я просто исхожу из сложившийся у меня задачи
может потом доделаю и шифрование а счас пока и так сойдет )

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "Аутентификация"

Сообщение от Lucky (??) on 21-Сен-04, 16:15  (MSK)

>>Вдогонку - еще будет более здорово, если ты не будешь хранить пароли
>>в БД в открытом виде. лучше хранить хэши от них.
>>для этого есть crypt и md5.
>спасибо
u r welcome
>насчет открытых паролей
>я просто исхожу из сложившийся у меня задачи
>может потом доделаю и шифрование а счас пока и так сойдет )
>
такие вещи надо сразу делать. переделывать много хуже

Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "Аутентификация"

Сообщение от zpilier (ok) on 21-Сен-04, 16:16  (MSK)

кстати трабл был в том что не было проверки
на пустой пароль и логин ))

Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "Аутентификация"

Сообщение от Maxim Kuznetsov on 22-Сен-04, 02:25  (MSK)

>>Вдогонку - еще будет более здорово, если ты не будешь хранить пароли
>>в БД в открытом виде. лучше хранить хэши от них.
>>для этого есть crypt и md5.
>спасибо
>насчет открытых паролей
>я просто исхожу из сложившийся у меня задачи
>может потом доделаю и шифрование а счас пока и так сойдет )
в догонку - типа рекомендация -
- md5 лучше сделать сразу - у него гарантировано фиксированная длинна
- Данные для аутенфикации лучше хранить в отдельной таблице (то есть не в user), чтобы если где в проекте будет SELECT * FROM user, не вылезал пароль ни в каком виде; Если пользователя может добавлять только админ, то
на auth сделать драконовские права доступа
- Проверку правильности пароля тоже лучше возложить на сервер :
$pass_md5=md5($pass);
$query=sprintf('SELECT id FROM auth WHERE login="%s" AND pass="%s"',
mysql_escape_string($login),mysql_escape_string($pass_md5));
- При записи строк в sql ВСЕГДА маскировать их через escape_string
(в первую очередь относится к данным вводимым пользователем, но лучше перебдеть)

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Аутентификация"
Сообщение от Lucky (??) on 21-Сен-04, 15:15 (MSK)
>день добрый >такая ситуация >делаю страницу(пусть index.php) с формой логин пасворд method=get >на другой странице (пусть main.php) по логину вытягиваю из базы пароль >сравниваю если совпадает то идем дальше если нет то стоп >но если обратится сразу к main.php т.е в браузере набрать >http://localhost/main.php то загружается так как будто аутентификация прошла успешно. чем может >быть проблема ? >если в форму вводишь неправильный пароль то он отсылает(выдает предупреждающую надпись). >спасибо а зачем GET? POST используй и проверять надо лоин и пароль в связке.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "Аутентификация"
	Сообщение от zpilier (ok) on 21-Сен-04, 15:26 (MSK)
	>а зачем GET? POST используй >и проверять надо лоин и пароль в связке. я в связке и проверяю я ж говорю когда с в форму вводишь непральный логин и пароль он отсылает т.е проверка срабатывает
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "Аутентификация"
	Сообщение от Lucky (??) on 21-Сен-04, 15:42 (MSK)
	>>а зачем GET? POST используй >>и проверять надо лоин и пароль в связке. >я в связке и проверяю >я ж говорю когда с в форму вводишь непральный логин и пароль > >он отсылает т.е проверка срабатывает телепатов нет )) надо код глядеть
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "Аутентификация"
	Сообщение от zpilier (ok) on 21-Сен-04, 15:54 (MSK)
	>телепатов нет )) надо код глядеть //форма в index.php <form name="aunthentification" method=post action="main.php"> Login :<center><input name="login" type="text"><br> password :<center><input name="passw" type="password"><br><br> <input name="enter" type="submit" value="Enter"> </form> //запрос в main.php $link = mysql_connect("$host","$user","$password") or die("Could not connect"); mysql_select_db("traffic") or die("Could not select database"); $query = "SELECT passw ,login FROM users WHERE login='$login'"; $result = mysql_query($query) or die("Query failed"); $line = mysql_fetch_object($result); $p=$line->passw; $l=$line->login; if(($login==$l)>0){ if(($passw==$p)>0){ print "<frameset cols=\"20%,80%\">"; print "<frame src=\"list_ip.php\"?login=$login name=\"frame1\""; print "<frame src=\"select_data_source.php\" name=\"frame2\""; print "</frameset>"; } } echo("Неправильно введен пароль или логин");
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "Аутентификация"
	Сообщение от Lucky (??) on 21-Сен-04, 16:00 (MSK)
	>>телепатов нет )) надо код глядеть >//форма в index.php ><form name="aunthentification" method=post action="main.php"> >Login :<center><input name="login" type="text"><br> >password :<center><input name="passw" type="password"><br><br> ><input name="enter" type="submit" value="Enter"> ></form> C этим вроде все в порядке. > >//запрос в main.php >$link = mysql_connect("$host","$user","$password") or die("Could not connect"); >mysql_select_db("traffic") or die("Could not select database"); 1) для начала проверь, что у тебя приходит в твой скрипт, т.е. что логин и пароль не пустые 2) необхимо поверять также, что сервер добавляет слэши для спецсиволов иначе это дыра в безоапсности >$query = "SELECT passw ,login FROM users WHERE login='$login'"; а пасс то почему не проверяешь? $query = "SELECT passw ,login FROM users WHERE login='$login' and passw='$passwd'"; >$result = mysql_query($query) or die("Query failed"); >$line = mysql_fetch_object($result); >$p=$line->passw; >$l=$line->login; > >if(($login==$l)>0){ >if(($passw==$p)>0){ > >print "<frameset cols=\"20%,80%\">"; >print "<frame src=\"list_ip.php\"?login=$login name=\"frame1\""; А вот здесь интересно. никогда так не делай. после проверки аутентификации стартуй сессию и потом проверяй по сессии. >print "<frame src=\"select_data_source.php\" name=\"frame2\""; >print "</frameset>"; >} >} >echo("Неправильно введен пароль или логин");
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "Аутентификация"
	Сообщение от Lucky (??) on 21-Сен-04, 16:02 (MSK)
	Вдогонку - еще будет более здорово, если ты не будешь хранить пароли в БД в открытом виде. лучше хранить хэши от них. для этого есть crypt и md5.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "Аутентификация"
	Сообщение от zpilier (ok) on 21-Сен-04, 16:09 (MSK)
	>Вдогонку - еще будет более здорово, если ты не будешь хранить пароли >в БД в открытом виде. лучше хранить хэши от них. >для этого есть crypt и md5. спасибо насчет открытых паролей я просто исхожу из сложившийся у меня задачи может потом доделаю и шифрование а счас пока и так сойдет )
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "Аутентификация"
	Сообщение от Lucky (??) on 21-Сен-04, 16:15 (MSK)
	>>Вдогонку - еще будет более здорово, если ты не будешь хранить пароли >>в БД в открытом виде. лучше хранить хэши от них. >>для этого есть crypt и md5. >спасибо u r welcome >насчет открытых паролей >я просто исхожу из сложившийся у меня задачи >может потом доделаю и шифрование а счас пока и так сойдет ) > такие вещи надо сразу делать. переделывать много хуже
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	9. "Аутентификация"
	Сообщение от zpilier (ok) on 21-Сен-04, 16:16 (MSK)
	кстати трабл был в том что не было проверки на пустой пароль и логин ))
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	10. "Аутентификация"
	Сообщение от Maxim Kuznetsov on 22-Сен-04, 02:25 (MSK)
	>>Вдогонку - еще будет более здорово, если ты не будешь хранить пароли >>в БД в открытом виде. лучше хранить хэши от них. >>для этого есть crypt и md5. >спасибо >насчет открытых паролей >я просто исхожу из сложившийся у меня задачи >может потом доделаю и шифрование а счас пока и так сойдет ) в догонку - типа рекомендация - - md5 лучше сделать сразу - у него гарантировано фиксированная длинна - Данные для аутенфикации лучше хранить в отдельной таблице (то есть не в user), чтобы если где в проекте будет SELECT * FROM user, не вылезал пароль ни в каком виде; Если пользователя может добавлять только админ, то на auth сделать драконовские права доступа - Проверку правильности пароля тоже лучше возложить на сервер : $pass_md5=md5($pass); $query=sprintf('SELECT id FROM auth WHERE login="%s" AND pass="%s"', mysql_escape_string($login),mysql_escape_string($pass_md5)); - При записи строк в sql ВСЕГДА маскировать их через escape_string (в первую очередь относится к данным вводимым пользователем, но лучше перебдеть)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх