Question

Şu anda benim giriş sistemi benim işlevleri komut (PHP) yeniden yazıyorum. Aşağıdaki kod güvenli ve kullanıcı oturum olup olmadığını denetlemek için "iyi" bir yolu var mı?

    function loggedin()
    {
        $ID = ($_SESSION['ID']);
        $sql = "SELECT `online` FROM `users` WHERE `ID` = '$ID'";
        $result=mysql_query($sql);
        $count=mysql_num_rows($result);
        $row = mysql_fetch_array( $result );
        if ( $count== 1)
        {
            if ($_SESSION['ID'] && $_SESSION['session_id'])

            {
                if ( $row['online']== 1)
                    return 1;
            }
        }
        else
        {
            return 0;

        }
    }

Answer 1

Beware Bobby Tables!

$ID = mysql_real_escape_string($_SESSION['ID']);

mysql_real_escape_string() ile her türlü girdi parametrelerini Escape

Veya daha iyisi, (MySQL) PDO ile parametreli sorgular kullanmak

Answer 2

Bu kesinlikle ekleyerek değer

session_regenerate_id(true);

önlemek için session fixation.

Yani bu

if ( $row['online']== 1)
    return 1;

Bu olur:

if ( $row['online']== 1)
{
    session_regenerate_id(true);
    return 1;
}

Answer 3

Diğer cevaplara ek olarak, oturum ilk varsa kontrol emin olun.

function loggedin()
{
    if(!isset($_SESSION['ID'])) return 0;
    $ID = ($_SESSION['ID']);
    ..

Bu PHP oturum açma işlevi güvenli mi?

3 Cevap

Beware Bobby Tables!

etiketler