| |
|
|
| | Доброе время суток!
Написал небольшой скрипт аутентификации:
пароль и логин получаю из хтмл формы методом пост (логин - цифровой, пароль может быть любой)
if ((isset($_POST['passwd']))and(isset($_POST['login']))){
//проверяем целочисленное ли idprov пришло к нам или это кто то нас хочет хакнуть, по умолдчанию отправляется целое значение
$id=$_POST['login']+0;
if ((is_int($id))and($id>0)) {
//подключаем модулии переменные
include 'conf.php'; include 'variables.php'; include 'asfunction.php';
$query='select `id`,`passwd` from tbl where id='.$id.';';
$index = mysql_query ($query);
$row = mysql_fetch_array($index);
//если пароль пришедший методом пост совпадает с тем что достали из базы то запускаем обработчик данных.
if ($_POST['passwd']==$row['passwd']){
session_start();
$_SESSION['register'] =$row['id'];
$_SESSION['passwd'] =$row['passwd'];
$rrr='location:'.$file_name;
$_POST['passwd']=0;$_POST['login']=0;
header($rrr);
exit;
}
}
}
|
1) Подскажите достаточно надежен ли этот код, на предмет взлома и вредоносного кода?
С уважением, Евгений. | |
| |
|
|
| |
|
|
| |
для: lifead
(18.08.2008 в 05:36)
| | | а пароль в чистом виде ? | |
| |
|
|
| |
|
|
| |
для: mehelson
(18.08.2008 в 07:13)
| | | В форме задается и передается из формы методом пост в чистом виде:
<form action=index.php method=post>
Логин <input type=text name=login value=""><br>
Пароль <input type=password name=passwd value=""><br>
<input class=button type=submit value="Вход">
|
А далее будет шифроваться и передаваться в сессии только шифрованный хеш пароля, здесь не приведено по соображениям безопасности. | |
| |
|
|
| |
|
|
| |
для: lifead
(18.08.2008 в 07:44)
| | | а пароль в сессии зачем держать ?
тут почти на каждой странице ваш вопрос обсуждается в том или ином виде... | |
| |
|
|
