php+mysql Sicurezza Autenticazione

**badore** · 09-11-2006, 23:02

salve,

sto preparando un'area riservata per il mio sito.
ho trovato un tutorial perfettamente funzionante che utilizza una integrazione tra falsh+php+mysql

questo è il codice php richiamato dal form per salvare i dati su database:

Codice PHP:


<?php

//--------------------MYSQL DETAILS ---------------------------------------//



//mysql details

require_once("dbDetails.php");





//------------------GATHER FORM DETAILS ---------------------------------//

$firstname = $_POST['firstname'];

$surname = $_POST['surname'];

$age = $_POST['age'];

$email = $_POST['email'];

$randomPassword = generatePassword();





// random password generator courtesy of [url]http://www.totallyphp.co.uk/code/create_a_random_password.htm[/url]

function generatePassword() {



    $chars = "abcdefghijkmnopqrstuvwxyz023456789";

    srand((double)microtime()*1000000);

    $i = 0;

    $pass = '' ;



    while ($i <= 10) {

        $num = rand() % 33;

        $tmp = substr($chars, $num, 1);

        $pass = $pass . $tmp;

        $i++;

    }

    return $pass;

}



//----first check the email addres does not exist already

$SQL = "SELECT * FROM members_tbl WHERE email ='".$email."'";

$rs = mysql_query($SQL,$conn);

$numRows = mysql_num_rows($rs);

if($numRows > 0){

    echo '&result=emailExists&';

    exit();//abort php script

}





//--------insert into database------------------------------//



$insertSQL = "INSERT INTO members_tbl(first_name, surname, age, email, password) VALUES ('$firstname', '$surname', '$age', '$email', '$randomPassword')";



$rs = mysql_query($insertSQL,$conn);





if($rs){

  //send user email with password

   sendEmail();

   echo '&result=success&';

}else{

  echo '&result=failure&';

}





//------------------- EMAIL FUNCTIONALITY--------------------------//

//this will send the user his password and in effect this will make sure he has given a valid email address



//the following will be where the user will reply to if need be



function sendEmail(){

    $yourname = 'NOME'; //PUT YOUR NAME HERE

    $youremail = 'MAIL@mail.it';//PUT YOUR EMAIL ADDRESS HERE

    

    //to user

    $headers = "From: $yourname <$youremail>\n";

    $headers .= "Reply-To: $yourname <$youremail>\n";

    $headers .= "MIME-Version: 1.0\n";

    $headers .= "Content-type: text/html; charset=iso-8859-1";

    

    

    //the message body

    $message = "Spett.le ".$GLOBALS['firstname'].",

 XXXX vi ringrazia per la registrazione. LA VOSTRA PASSWORD E': ".$GLOBALS['randomPassword']."</p>";

    

    

    mail($GLOBALS['email'], "Ecco i tuoi dettagli di registrazione: ", $message, $headers);

} ?>

mentre questo è il codice richiamato dal form di login:

Codice PHP:


 <?php

session_start();

$email = $_POST['email'];

$password = $_POST['password'];



//mysqldetails

require_once("dbDetails.php");



$SQL = "SELECT * FROM members_tbl WHERE email ='".$email."' AND password = '".$password."'";



$rs = mysql_query($SQL,$conn);

$numRows = mysql_num_rows($rs);



if($numRows > 0){

    $_SESSION['loggedIn'] = true;

    echo 'login=success';

}else{

    echo 'login=failure';

}

?>

e fin qui tutto ok. funziona.

ma dopo aver letto la guida sulla sicurezza in PHP di HTML.IT
sono diventato molto sospettoso.
premetto che sono alle prime armi col php, ma è chiaro
che questo codice potrebbe essere facilmente vulnerabile
poichè le password vengono salvate in chiaro sul database,
e vorrei capire come aggiungere la funzione md5 per salvare la firma della password sul database.

se prendo in considerazione questa parte di codice:

Codice PHP:


//------------------GATHER FORM DETAILS ---------------------------------//

$firstname = $_POST['firstname'];

$surname = $_POST['surname'];

$age = $_POST['age'];

$email = $_POST['email'];

$randomPassword = generatePassword();

sulla variabile password creata dalla funzione generatePassword(); manca la voce $_POST

ora, come e dove posso aggiungere la funzione md5 per creare la firma della password?

**Manuelandro** · 09-11-2006, 23:23

Originariamente inviato da badore

sulla variabile password creata dalla funzione generatePassword(); manca la voce $_POST

ora, come e dove posso aggiungere la funzione md5 per creare la firma della password?

:master:

ma....

manca $_POST perchè la variabile non proviene dal form(con method=post) t trovi?

e poi a caosa t serve l'md5? non ho ben capito..

**badore** · 09-11-2006, 23:43

ok. la variabile non proviene dal form.

ma come posso evitare che la password venga registrata in chiaro sul database?

**Psyko83** · 10-11-2006, 09:29

Dunque se usi l'md5 potresti anche evitare di crearla tu la password, ma farla digitare all'utente.
Io ti proporrei sha1 invce di md5, sono simili, si usano come delle normali funzioni md5($POST['password']); oppure sha1($POST['password']);.
Come ben saprai queste non sono decriptabili, quindi se un utente perderà la password....si frega

No skerzo, la dovrà ridigitare perchè non sarà più possibile rintracciarla.
Per fare il login dovrai compararla con la password criptata che l'utente digiterà al momento del login nell'area riservata.
Spero di essere stato chiaro. :master: :master:

Discussione: php+mysql Sicurezza Autenticazione

Strumenti discussione

Ricerca discussione

Visualizza

php+mysql Sicurezza Autenticazione

Re: php+mysql Sicurezza Autenticazione

Permessi di invio