Sistema login Ajax/Php

**luckino69** · 06-04-2010, 17:23

Ciao a tutti,
starò per fare una domanda stupida, ma non ho trovato alcuna risposta ne sul sito, ne sui motori di ricerca...
Ho letto una serie di guide per creare un sistema di login, si di html.it che non, e tutte facevano riferimento a due script javascript:
md5.js
ajaxpw.js

Il primo ho trovato come reperirlo in rete, ma il secondo non riesco proprio a trovarlo.
Devo ammettere che sono alle prime armi, e alle primissime con javascript-ajax, quindi chiedo scusa se sto facendo una domanda stupida.
Grazie ciao

**luckino69** · 07-04-2010, 15:22

Nessuno ha mai avuto a che fare con quello script?

**fcaldera** · 07-04-2010, 15:31

Originariamente inviato da luckino69
... e tutte facevano riferimento a due script javascript:
md5.js
ajaxpw.js

hai un link di almeno una delle guide che fanno uso di questi due file?

**luckino69** · 07-04-2010, 15:33

Certo:
http://www.programmando.net/2009/05/.../#comment-7173

**fcaldera** · 07-04-2010, 18:24

http://www.sastgroup.com/tutorials/s...nti-registrati

c'è un link per scaricarsi tutto, compreso quel file

edit: fai estremamente attenzione ad usare quello script così com'è, perché manca del tutto la parte in cui gli input vengono filtrati.

**luckino69** · 07-04-2010, 22:06

Ti ringrazio veramente tanto.
Non l'avevo proprio visto quel link!
Ti chiedo scusa per l'ignoranza, ma potresti spiegarmi bene la parte del filtraggio degli input?
Parli della parte php (htmlentities, get_magic_quotes..)??
Grazie e ciao

**luckino69** · 13-04-2010, 20:07

Ciao a tuti, volevo fare un up alla mia ultima domanda, poichè sto mettendo questo script nel sito e la risposta riguardo la non sicurezza mi preoccupa un bel po'.
Grazie

**fcaldera** · 13-04-2010, 23:56

nel tuo caso prendi due parametri inseriti dall'utente e li infili dentro una query

immagina cosa succede se come login qualcuno inserisce su login e password una stringa del tipo
1 or 1=1'

oppure semplicemente sulla login
""'; drop Table users;--

login e password dovrebbere essere filtrati almeno da un'espressione regolare che non consenta di inserire nulla eccetto lettere, cifre e trattini (vedi preg_match)

poi possiamo discutere sull' (in)utilità di far passare i dati hashati con un md5 inducendo l'utente a pensare erroneamente di essere al sicuro nascondendo i dati. l'unico modo di proteggere la comunicazione client/server è ricorrere all'uso di https

**luckino69** · 14-04-2010, 01:51

Ti ringrazio per la delucidazione,
sicuramente parlando di https possiamo stare tranquilli,
ma, ovviamente seguendo i tuoi consigli, applicando una cifratura md5 si è mezzi al sicuro da almeno tutta quella parte di "furbetti" che applicano dell'sql injections.
Certo non staremmo in una botte di ferro, ma almeno riparati da una bella fetta di utenti malevoli.
Mi trovi daccordo?Hai degli altri gentili consigli di sicurezza da poter applicare?
Ciao

**fcaldera** · 14-04-2010, 10:25

Originariamente inviato da luckino69
ma, ovviamente seguendo i tuoi consigli, applicando una cifratura md5 si è mezzi al sicuro da almeno tutta quella parte di "furbetti" che applicano dell'sql injections.

che succede se uno disabilita javascript?

sicuro ancora di essere "mezzo" al sicuro?
e poi l'md5 verrebbe applicato solo alla password, non alla login quindi l'sql injection sarebbe possibile in ogni caso con il secondo esempio che ti ho fatto.

Discussione: Sistema login Ajax/Php

Strumenti discussione

Ricerca discussione

Visualizza

Sistema login Ajax/Php

Re: Sistema login Ajax/Php

Permessi di invio