Onko tämä Adminsivun "suojauksen" toteutustapa turvallinen:
adminlogin.php (salasanalomake)
<?php include "up.php"; // Sivun yläpalkki, yms ulkoasuun liittyvää ?> <br> <!-- Lomake --> <form action="adminloginsend" method="post" enctype="multipart/form-data"> <label for="otsikko">Salasana:</label> <input type="password" name="password" id="password" size="32"><br> </form>
adminloginsend.php (salasanalomakkeen käsittely)
<?php session_start(); //variablet $username = "Admin"; $salasana = ($_POST['password']); //Jos salasana on oikein if ($salasana = ("juures2")){ $_SESSION['username']=$username; echo "Onnistui!" }else{ //virhe echo "Väärä salasana!"; }
admin.php (sivu vain admineille)
<?php session_start(); if ($_SESSION['username']) { echo "Terve Admin!"; } else die("Turha luulo!"); // MUUT KOODIT, JOTKA EIVÄT LIITY SUOJAUKSEEN
JuustoPala kirjoitti:
Tuossa if-lauseessa et tarkista vaan asetat joka kerta $salasana-muuttujan arvoksi juures2, se palauttaa aina true, jolloin salasana ei voi koskaan mennä väärin.
JuustoPala kirjoitti:
Mikäli joku muu sivuistasi asettaa $_SESSION['username']-muuttujan sisäänkirjauksessa, tuo if-lause päästää kenet tahansa kirjautuneen sisälle, oli kyseessä admin tai muu käyttäjä.
Kiitos huomautuksista. Eikös ensimmäisen virheen korjaa se, että laittaa
$salasana = ("juures2")tilalle
$salasana == ("juures2")?
Toisesta huomautuksesta: en aseta mihinkään muuhun tuota muuttujaa.
Voisko järjestelmää viellä parantaa vaikka md5:llä, vai onko järjestelmä tarpeeksi turvallinen. Sivusta olisi tarkoitus tulla muuten suosittu, joten se saattaa tulla monen hyökkäyksen uhriksi ;)
Putkan vinkeistä löytyy hyvä esimerkki kirjautumis lomakkeesta ja toinen vinkki salasanojen suojaamisesta, lue ne eläkä sähellä ite, ennen kui edes ymmärrät perus asiat tunnistautumisesta.
JuustoPala kirjoitti:
Voisko järjestelmää viellä parantaa vaikka md5:llä, vai onko järjestelmä tarpeeksi turvallinen.
On tuossa kuule vielä vaikka mitä parantamisen varaa, jos todella haluat turvallisen kirjautumisen toteuttaa.
JuustoPala kirjoitti:
Sivusta olisi tarkoitus tulla muuten suosittu, joten se saattaa tulla monen hyökkäyksen uhriksi ;)
Ai, joko taas. Näitä supersuosittujen sivustojen tekijöitä on täällä ennenkin nähty.
Haisee kyllä niin rankasti puhdas copy-paste jo näistä muutamasta täällä näkyneestä rivistä, että lienee ihan turha arvailla sitä, että voisiko koodissa olla tietoturvareikiä. Niitä täysin varmasti on tukuittain.
Vai suosittu sivusto.. :D
Asenna joomla tms. sivulles niin luulis olevan suhteellisen turvallinen & helppokäyttöinen..
Aihe on jo aika vanha, joten et voi enää vastata siihen.