Migliorare login con sessione

**hutton** · 13-06-2012, 16:26

salve a tutti,
volevo sapere se è possibile migliorare in sicurezza, questo codice per una login con sessione, ma senza l'utilizzo di mysql

codice:

<?php

	$pass = "costantino";
	
	if($_POST['password'] == "")
	{
		echo "Attenzione devi inserire la password";
		header("Location: form.html");
	}
	elseif ($_POST['password'] == $pass)
	{
		session_start();
		$_SESSION['login'] = "ok";
		header("Location: welcome.php");
	}
	else
	{
		header("Location: form.html");
	}

?>

Ovviamente io devo fare un controllo soltanto sulla password, perchè mi è stato richiesto esplicitamente così...

**danlupo** · 13-06-2012, 16:31

Secondo me potresti cifrare la password, ad esempio facendo l'hash con un sha1, ci sono siti che ti permettono di calcolarla online.

Metti quella calcolata come $pass e poi fai una cosa del tipo

Codice PHP:


.

$passform=sha1($_POST['password']);

elseif ($passform == $pass)

Dovrebbe risultare leggermente più sicuro.

**hutton** · 13-06-2012, 16:39

Grazie... provo subito

**eiyen** · 13-06-2012, 16:41

..."welcome.php" che controlla effettua?

**hutton** · 13-06-2012, 16:43

quella è la pagina a cui si accede dopo il login... e al suo interno c'è solo lo script che controlla se è attiva o meno la sessione.

**nickcv** · 13-06-2012, 16:46

ti consiglierei di aggiungere anche un salt per evitare attacchi di tipo rainbow table, ma visto che la password è hardcoded nel codice se riuscissero ad ottenere il file che la contiene riuscirebbero di sicuro ad ottenere anche il file che contiene il salt.

sicuramente però ricalcola il session id dell'utente autenticato per evitare attacchi di tipo session fixation.

se vuoi raggiungere un nuovo livello di paranoia genera un valore in sessione che copi anche nel form e fai il controllo del match all'invio per evitare request forgery.

**eiyen** · 13-06-2012, 16:50

visto che "esageriamo" :) si potrebbe mettere la password codificata (es. con sha) in un file esterno fuori dalla cartella web e così anche il nome del file da caricare in caso di successo

**hutton** · 13-06-2012, 16:51

Come posso fare per ricalcolare il session id ?

**nickcv** · 13-06-2012, 16:58

Originariamente inviato da eiyen
visto che "esageriamo"

si potrebbe mettere la password codificata (es. con sha) in un file esterno fuori dalla cartella web e così anche il nome del file da caricare in caso di successo

bhè a questo punto direi di spostare tutto fuori dalla webroot all'infuori del front controller :P

comunque per rigenerare il session id ricordati che php.net è tuo amico hutton:
http://it.php.net/manual/en/function...enerate-id.php

Discussione: Migliorare login con sessione

Strumenti discussione

Ricerca discussione

Visualizza

Migliorare login con sessione

Permessi di invio