пароли — этот скрипт php безопасен для использования на моем сайте?
Я хочу защитить некоторый контент на моем сайте паролем, и я думаю об использовании этого сценария php
Как вы думаете, это хороший путь?
Знаете ли вы что-нибудь лучше для этой задачи или способ улучшить (если нужно) тонкий?
Код для загрузки контента из базы данных:
<?phperror_reporting(0);
include("config.php");if (!isset($_REQUEST["p"])) {
echo 'document.write("<div id=\"protected_'.intval($_REQUEST["id"]).'\">");';
echo 'document.write("<form onsubmit=\'return LoadContent(\"'.intval($_REQUEST["id"]).'\",\"protected_'.intval($_REQUEST["id"]).'\",document.getElementById(\"pass_'.intval($_REQUEST["id"]).'\").value); return false;\'\"><input type=\'password\' size=\'30\' placeholder=\'Content is protected! Enter password.\' id=\"pass_'.intval($_REQUEST["id"]).'\"></form>");';
echo 'document.write("</div>");';
} else {
$sql = "SELECT * FROM ".$SETTINGS["data_table"]." WHERE `id`='".intval($_REQUEST["id"])."' AND password='".mysql_real_escape_string($_REQUEST["p"])."'";
$sql_result = mysql_query ($sql, $connection ) or die ('request "Could not execute SQL query" '.$sql);
if (mysql_num_rows($sql_result)==1) {
$row = mysql_fetch_assoc($sql_result);
echo $row["content"];
} else {
echo 'Wrong password';
}
}
?>
Решение
Как я сказал в комментариях, вам не следует больше тратить время на то, что вы скачали, поскольку оно старое и небезопасное.
Вы можете сохранять пароли в виде простого текста, что, безусловно, не очень хорошая идея.
- Пришло время вступить в 21 век.
mysql_ API устарел и полностью удален из PHP 7.0.
Вы лучше всего использовать подготовленное заявление и password_hash() или пакет совместимости.
Вот несколько ссылок:
- http://php.net/manual/en/book.password.php
- http://php.net/manual/en/function.password-hash.php
- http://php.net/manual/en/pdo.prepared-statements.php
- http://php.net/manual/en/mysqli.quickstart.prepared-statements.php
Нотабене Использование mysql_real_escape_string() не полностью гарантирует защиту от возможного внедрения SQL.
Обратитесь к следующему Q&А по теме:
Вот кусок кода, извлеченный из одного или ircmaxell-х ответы, которые используют (PDO) подготовленное заявление и password_hash(),
Вытащил из: https://stackoverflow.com/a/29778421/1415724
Просто используйте библиотеку. Шутки в сторону. Они существуют по причине.
- PHP 5.5+: использовать
password_hash() - PHP 5.3.7+: использовать
password-compat(пакет совместимости для выше) - Все остальные: использовать phpass
Не делай этого сам. Если вы создаете свою собственную соль, ТЫ ДЕЛАЕШЬ ЭТО НЕПРАВИЛЬНО. Вы должны использовать библиотеку, которая обрабатывает это для вас.
$dbh = new PDO(...);
$username = $_POST["username"];
$email = $_POST["email"];
$password = $_POST["password"];
$hash = password_hash($password, PASSWORD_DEFAULT);
$stmt = $dbh->prepare("insert into users set username=?, email=?, password=?");
$stmt->execute([$username, $email, $hash]);
И при входе в систему:
$sql = "SELECT * FROM users WHERE username = ?";
$stmt = $dbh->prepare($sql);
$result = $stmt->execute([$_POST['username']]);
$users = $result->fetchAll();
if (isset($users[0]) {
if (password_verify($_POST['password'], $users[0]->password) {
// valid login
} else {
// invalid password
}
} else {
// invalid username
}
Другие решения
Других решений пока нет …