ایجاد Login امن امن امن

[rudehen]

سلام
یه سوال سخت
چه طور یه فرم لاگین و ملزوماتش رو بنویسم
به طوری که کاملن امن باشه
جای هک و این حرفا نداشته باشه؟

 

[amir_s]

در کدوم قسمت مشکل دارید ... Login یا بعد از Loagin !؟

 

[iman_ebru]

امیر جان اینا که گفتی یعنی چی؟ چه فرقی داره؟

 

[rudehen]

هر دو با هم
یعنی یه لاگینی که مو لادرزش نره

 

[Ocarina]

دقیق تر بگو چه طوری؟
یعنی میخوای پسوردها رو از دیتابیس بیاره چک کنه؟
یا اینکه او خود صفحه شرط گذاشتی؟
من یه نونه دارم که از دیتابیس میگیره اگه خواستی بگو برات بفرستم

 

[rudehen]

یه لاگین کامل کامل
همه چی داشته باشه
فکر کن واسه خودت می خوای
هم لاگین کنه
هم چک کنه که طرف لاگینه (واسه صفحه های بعد از لاگین)
هم لاگ اوت
هم اضافه کردن یوزر جدید

فقط همه اینا طوری باشه که هک شدنی نباشه!!

قربونت

 

[Ocarina]

خوب منم زیاد اینتور امنیتی کار نکردم و کلا تو php تازه کارم
اما یه پروژه داشتم که صفحه لاگین اون رو به این صورت درست کردم:
یه صفحه کا username و password از کاربر گرفته میشه و بعدش میفرسته به یه صفحه دیگه
اونجا با php کد نوشتم که بره و اونو از تو دیتابیس mysql پیدا کنه اگه یه همچین موردی تو دیتابیس بود که
user & password درست است و ادامه محتویات صفحه نشون داده میشه و اگه غلط بود یعنی مجوز ورود نداره و اشتباه وارد کرده...
برای اینکه این کار برای صفحات دیگه ادامه داشته باشه یعنی اگه user & pass درست بوده و صفحه اومده و حالا میخوایم که هنگام ورود به صفحه دیگه خودکار وارد بشه و دیگه پسورد نخواد زمانی که خواست به یه صفحه دیگه بره user & pass رو با یه فیلد مخفی( hidden field) ارسال میکنم .....
و تو هر صفحه همون همون شرط اول رو گذاشتم که با فیلدهای user & pass ارسالی رو با محتئیات دیتابیس چک کنه.....
------------------------------------
اگه خواستی میتونی خودت پروژه تست کنی برو این صفحه:
http://iauk.ocarina.ws/login.php
حالا user :ali1 و pass :amt وارد کن که میبره تو صفحه admin.php و اونجا کار چک کدن رو انجام میده...
در ضمن اگه مثلاً تو آدرس بار http://iauk.ocarina.ws/admin.php مستقیم وارد کنی یعنی بدون اینکه از صفحه login وارد بشی بهت پیغام نداشتن مجوز دسترسی میده...
========================================
امیدوارم که چیزی دستگیرت شده باشه و مشکلت حل بشه
البته اینو بگم که من خیلی حرفه ای نیستم و ممکنه مشکلاتی داشته باشه...در هر حال خواستم تجربه خودمو بگم

 

[rudehen]

دستت درد نکنه
لطف کردی که این قدر کامل جواب دادی
من خودم لاگین و اینا درست کردم
اما می خوام اگه کسی یه چیز امن داره از اون استفاده کنم که خیالم کلی جمع باشه
دست همگی درد نوکنه

 

[Ocarina]

البته من که مشکلی توش ندیدم
اما گفتم که چون زباد حرفه ای نیستم ممکنه مشکل هم داشته باشه
اما شما یا کسه دیگه ازش اگه اشکالی در آورد بگه تا من و بقیه استفاده کنند

 

[YTERROR]

جالبه ممنون

 

[rudehen]

ما کی باشیم از اسکریپت شما ایراد بگیریم
ما تو مال خودمونم موندیم

خیلی چاکریم

 

[hba]

بابا فیلد مخفی چیه حتما از specialchars... استفاده کن و session

 

[mohsenshahbazi]

بابا فیلد مخفی چیه حتما از specialchars... استفاده کن و session

اون Session تایید میشه ...


محسن!

 

[Ocarina]

ممنون که اشکال کارمو گفتی
خوب اگه ممکنه بگی چی هست و چطور استفاده کنم....
دست ما کوچیکتر ها رو بگیرین

 

[Ebrahimimami]

می شه روشی را برای login معرفی کنید که در مقابل SQL Injection یا تزریق SQL مقاوم باشه
ممنون

 

[hba]

با دستور injection_replace() امن می شه

 

[oxygenws]

با دستور injection_replace() امن می شه

اونوقت این تابع کجا تعریف شده و از کجا آوردیش؟؟؟؟!!!