Problem so Session

Blackshadow · Napísal **Blackshadow**: 15.02.2008 17:36

Mam cudny problem.. mam script na prihlasovanie, vsetko funguje, akurat ten web sa presuval na iny server a prestal fungovat..
pristup k databazi je dobre nastaveny, v databazi je meno a heslo na overenie, tak neviem co je problem....

zdrojaky:

Na chranene stranky davam:

Kód:

<?php
include "overenie.php";
?>

overenie.php:

Kód:

<?php
include ("config.php");

$nick = $_SESSION["nick"];
$heslo = $_SESSION["heslo"];

if(!$nick || !$heslo)
{
echo "
    <script>
    window.location.replace(\"index.php?url=admin_error3\");
    </script>";
exit();
}
Else
{
$sql = mysql_query("select * from texty where text1 = '$nick' and text2 = '$heslo'");
$row = mysql_num_rows($sql);
If($row !=1) { 

echo "
    <script>
    window.location.replace(\"index.php?url=admin_error2\");
    </script>";


exit(); }
}
?> 

prihlasenie.php /tam su chyby a formular/

Kód:

<?php
$chyba = $_GLOBALS['error'];
If($chyba==1) { echo "<p><b>Meno a heslo nesúhlasí</b></p>";}
Elseif($chyba==2) { echo "<p><b>Nevyplnil si meno alebo heslo</b></p>";}
Elseif($chyba==3) { echo "<p><b>Ak ste bol dlhšiu dobu neaktivný, systém vás odhlásil</b></p>";}
?>
<p>
<form method="post" action="login.php">
Meno <input name="nick"> <br>
Heslo <input name="heslo" type="password">
<input type="submit" value="Prihlásit">
</form>
</p>

login.php /kompletne prihlasovanie/:

Kód:

<?php
session_start();
include ("config.php");


$nick = $_POST["nick"];
$heslo= $_POST["heslo"];
If(!$nick || ! $heslo) { 
echo "
    <script>
    window.location.replace(\"index.php?url=admin_error2\");
    </script>";
exit();
}

$sql = mysql_query("select * from texty where text1 = '$nick' and text2 = '$heslo'");
$row = mysql_num_rows($sql);
If($row==1)
{
$_SESSION["nick"]= $nick;
$_SESSION["heslo"] = $heslo;
echo "
    <script>
    window.location.replace(\"index.php?url=admin\");
    </script>";
exit();
}
Else
{
echo "
    <script>
    window.location.replace(\"index.php?url=admin_error1\");
    </script>";
exit();
}
?>

ked natukam spravne meno a heslo, vyhodi mi to:
Nevyplnil si meno alebo heslo - cize chyba 2
ked zadam zle meno alebo heslo, tak vyhodi normalne
Meno a heslo nesúhlasí - takze to ide...

zvlastne je, ze som nic nemenil a na jednom servery to ide a na druhom nie..

Leachim · Napísal **Leachim**: 16.02.2008 13:41

Rady:
-heslá si kóduj do md5, takto je to dosť nebezpečné
-heslo do session nedávaj, je to jednak trochu nebezpečné, keď nieje šiforvané a je to aj zbytočné, radšej tam daj user_ID a nejaké oprávnenia, ak tam niečo také máš.

Kód:

If(!$nick || ! $heslo)

skús odstrániť tú medzeru medzi výkričnikom a premennou heslo

Blackshadow · Napísal autor témy **Blackshadow**: 16.02.2008 14:25

hm, ako si dam hesla do md5 ? musim ich tak zapisovat do databazi a potom overovat tak, ze heslo prevediem do md5 a tak overim, ze?

tou medzerou to nebolo....
tieto kody som kopiroval, je to ta ista stranka, ktoru som len presuval na iny server..
moze byt, ze je inak nakonfigurovany??

Leachim · Napísal **Leachim**: 16.02.2008 18:34

heslo do md5 zakóduješ tak, že si dáš md5($_POST['heslo']);

a toto uložíš do databázy. a potom overuješ rovnako, akurát túto funkciu md5 pridáš aj keď ho overuješ... Trošku chaoticky som to napísal, dúfam, že pochopiš

Blackshadow · Napísal autor témy **Blackshadow**: 16.02.2008 22:38

jasne chapem... dikes moc... skusim to...

walther · Napísal **walther**: 16.02.2008 22:57

miesto md5 je lepsie pouzit sha1 (pouzijes rovnako ako md5)

Leachim · Napísal **Leachim**: 16.02.2008 23:01

Alebo pokial si na bezpečnosť paranoidný, tak MD5 a SHA1 naraz :-D

Kód:

md5(sha1($premenna));

Aj keby máš heslo "1" bez uvodzoviek a niekto bude chcieť rozlúśtiť na prvý pohľad MD5 hash a bude vedieť o tom, že heslo máš iba číselné, netrvalo by mu cracknutie extra dlho.. ale pokial zašifruješ heslo najprv do SHA1 a následný SHA1 hash do MD5, tak to nerozlúšti v živote, teda pokial by nemal doma kvantový PC

Blackshadow · Napísal autor témy **Blackshadow**: 16.02.2008 23:07

ty voe.. hele chlapi, ja nerobim stranku NBU

ale diki za radu.. tak pouzijem obe.. co ak ma nekdo bude cet hacknut

Leachim · Napísal **Leachim**: 16.02.2008 23:22

Sory za OT: Ale myslím si, že stránka NBU na bezpečnosť nemyslí :-D

Blackshadow · Napísal autor témy **Blackshadow**: 16.02.2008 23:26

tak neberme do uvahu stranku ale ich system

ozaj, nejaky machri by sa mohli kuknut sem:
http://www.pcforum.sk/incorrect-string- ... 33324.html

vl4kn0 · Napísal **vl4kn0**: 17.02.2008 12:44

Leachim píše:

Alebo pokial si na bezpečnosť paranoidný, tak MD5 a SHA1 naraz :-D

Kód:

md5(sha1($premenna));

Aj keby máš heslo "1" bez uvodzoviek a niekto bude chcieť rozlúśtiť na prvý pohľad MD5 hash a bude vedieť o tom, že heslo máš iba číselné, netrvalo by mu cracknutie extra dlho.. ale pokial zašifruješ heslo najprv do SHA1 a následný SHA1 hash do MD5, tak to nerozlúšti v živote, teda pokial by nemal doma kvantový PC

to je podla mna dost kravina

pretoze md5 je beztak dost pomaly a keby ho kombinujes so sha1 tak by to bolo vazne dost pomale. a keby nejake heslo chcem vazne cracknut tak za taky mesiac by som ho mal aj keby bolo hashovane oboma

Tominator · Napísal **Tominator**: 17.02.2008 20:16

el mariachi píše:

miesto md5 je lepsie pouzit sha1 (pouzijes rovnako ako md5)

to si vykopal z kadiaľ?

walther · Napísal **walther**: 17.02.2008 20:39

napriklad tu :

Kód:

http://binnyva.blogspot.com/2005/11/md5-is-dead-use-sha1.html

len dufam ze vies anglicky... v pripade vsak pohladam dalsie zdroje kde ti kazdy potvrdi, ze sha1 je kvalitnejsie co sa tyka zabezpecenia ako md5 :roll:

Kód:

http://webreflection.blogspot.com/2007/01/javascript-unobtrusive-security-form.html

Citácia:

I hope code description is enought to understand this kind of form and I suggest to use sha1 instead of md5 (better security).

................. :sing:

suchy · Napísal **suchy**: 17.02.2008 20:40

no md5 ti vypluje 128 bitovy hash zatial co sha1 tusim 160 bitovy. taktiez u md5 bola dokazana kolizia, co znamena, ze dva rozne retazce mozu mat rovnaky hash.

walther · Napísal **walther**: 17.02.2008 20:43

koliziu ti sice vedia dokazat uz aj pri sha1, ale vo vseobecnosti sa sha povazuje za nastupcu md5..... je to proste bezpecnejsie, co ti potvrdi kazdy clovek ktory sa trosku hlbsie zaobera pc/webom

Blackshadow · Napísal autor témy **Blackshadow**: 17.02.2008 21:21

sha1 som este nepocul, kdezto md5 som pocul dost casto a linuxe sa to casto vyuziva (md5 sum, alebo to je nieco ine?)
takze mne je md5 sympatickejsie

walther · Napísal **walther**: 17.02.2008 21:50

sympatickejsie mozno, ale starsie a menej bezpecne. nasiel som tiez nake nazory ze je dobre pouzivat tzv butterfly metodu (sha1 + md5), ale jak tu bolo uz spomenute, je to zbytocne pokial clovek nema nejaky konkretny dovod. 99% webmaterov robi stranky pre normalnych ludi, nie pre narodnu bezpecnost a podobne

beznemu userovi je totalne jedno co pouzije ked jeho jedinymi dynamickymi prvkami je menu a ukazovatel casu

Blackshadow · Napísal autor témy **Blackshadow**: 18.02.2008 15:38

to prihlasovanie bude len pre majitela webu, ktory si bude upravovat obsah na stranke (CMS)
prihlasovanie bude na adrese, ktora nebude pristupna normalne, bude ju vediet len majitel.. takze ked niekto pride na tu stranku, tipne spravnu adresu, tak potom moze sa snazit prelomit heslo

inac nevie, ci tam vobec nejake prihlasovanie je..

Problem so Session

Podobné témy