» Primi esperimenti per login utenti

drimmy · 04-02-08, 12:32

Ciao a tutti conosco da un po' di tempo il php e adesso sto cercando di applicarlo a mysql per una gestione dei login e registrazioni. Ho iniziato a fare qualche prova per il login, premetto che non sono andato a guardarmi come si fa o a copiare cose già fatte, quindi potrei aver fatto una cosa di bassissimo livello. Però per incominciare ho voluto provare a ragionarci su un po' per capire meglio, poi se esistono degli algoritmi migliori li vado a guardare. Per adesso non ho ancora considerato la sicurezza. vi posto il codice delle pagine che ho fatto di prova:

Pagina di login:

Codice:

<html>
<body>
<form method="post" action="accesso.php">
  <label>Utente:
  <input name="utente" type="text" id="utente" maxlength="20" />
  </label>
  <p>Password:<label>
    <input name="pass" type="password" id="pass" maxlength="20" />
    </label>
  </p>
  <p>
    <label>
    <input type="submit" name="Submit" value="Invia" />
    </label>
  </p>
</form>
</body>
</html>

Pagina di accesso:

Codice:

<?php
$utente=$_POST['utente'];
$pass=$_POST['pass'];
$db_host = "localhost";
$db_user = "root";
$db_password = "";
$db_name = "database";

$db =  mysql_connect($db_host, $db_user, $db_password);
if (! $db)
 echo "Errore durante la connessiona la database.";

 mysql_select_db($db_name) or exit ("errore durante la selezione del database");

$sqlcmd = "SELECT * ";
$sqlcmd .= "FROM utenti ";
$sqlcmd .="WHERE user='$utente' AND pass='$pass' ";
$risultato =  mysql_query( $sqlcmd );
if (! $risultato) 
exit ("errore nell'interrogazione: $sqlcmd");
if (mysql_num_rows ($risultato)==0)
{
exit ("Utente o Password errati");
$accesso="no";
}
else
$accesso="ok";

session_start();

$_SESSION['accesso']=$accesso;

?>


<html>
<head>
<meta  http-equiv="Content-Type" content="text/html; charset=iso-8859-1" />
<title>Documento senza titolo</title>
</head>
<body>
<a href="pagina1.php"> pagina 1 </a>
</body>
</html>

Pagina1

Codice:

 <?php
session_start();
$accesso=$_SESSION['accesso'];
if ($accesso!="ok")
exit ("Accesso non effettuato");
?>


<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1" />
<title>Documento senza titolo</title>
</head>
<body>
Pagina visibile
<br />
<a href="logout.php">logout</a>
</body>
</html>

Pagina di logout:

Codice:

<?php
session_start();
session_destroy();
?>
<html>
sessione terminata
</html>

Accetto tutti i vostri commenti e aiuti!!
Grazie

drimmy · 04-02-08, 12:59

La prima domanda che mi sorge è:
Se non chiudo la connessione al database nella pagina accesso, quando passo alla pagina1 la connessione rimane aperta o la devo rifare? Per ora la chiudo ad ogni pagina e la riapro la pagina dopo

Thedarkita · 04-02-08, 14:07

La connessione va fatta in ogni pagina quindi conviene fare un file di configurazione ed includerlo in tutte le pagine

per quanto riguarda lo script sarebbe più corretto scrivere:
al posto di :

Codice PHP:


			
$sqlcmd .="WHERE user='$utente' AND pass='$pass' ";

questo:

Codice PHP:


			
$sqlcmd .="WHERE user='$_POST[utente]' AND pass='$_POST[pass]' ";

cosi eviti anche problemi con le impostazioni dei server

GreyFox · 04-02-08, 15:20

attento devi filtrare gli imput seno è automatica una sqlinjection!

Thedarkita · 04-02-08, 15:34

Quote:

GreyFox

attento devi filtrare gli imput seno è automatica una sqlinjection!

ha scritto che per adesso tralasciava la sicurezza...

drimmy · 04-02-08, 20:01

Quote:

GreyFox

attento devi filtrare gli imput seno è automatica una sqlinjection!

Adesso cerco di ottimizare anche la sicurezza, puoi spiegarmi meglio? grazie

Thedarkita · 04-02-08, 20:46

Per la sicurezza devi filtrare i simboli come ' e " che posso modificarti la query

puoi usare la funzione addslashes per aggiugnere gli \ davanti a questi simboli e quindi evitare questi codici dannosi

drimmy · 04-02-08, 21:25

puoi farmi un esempio? grazie

Thedarkita · 04-02-08, 22:44

Link alla guida ufficiale del php:
it2.php.net/addslashes

drimmy · 04-02-08, 23:12

grazie appena ho tempo gli do un'occhiata!

GreyFox · 04-02-08, 23:13

attento fai anche un filtraggio per simboli come % < > ' " * e nella pagina stessa che interroga il db perche senno possono essere bypassati editando una richiesta http manualmente...inoltre per evitare proxy o spammer utilizza o le lettere delle immagini (come quella per registrarti qui) oppure un'applet in java che prenda l'ip privato del visitatore ...

un esempio di funzione per validare un campo puo essere:

Codice PHP:


			
function quote_smart($value)
{

if (get_magic_quotes_gpc()) {
$value = stripslashes($value);
}

if (!is_numeric($value)) {
$value = "'" . mysql_real_escape_string($value) . "'";
}
return $value;
}

drimmy · 05-02-08, 15:30

Quote:

GreyFox

attento devi filtrare gli imput seno è automatica una sqlinjection!

Ho approfondito l'argomento e una sqlinjection è molto pericolosa quanto semplice da fare, quindi è indispensabile metterla fuori uso. Adesso vedo cosa mi avete consigliato di fare e provo a sistemarlo

Quote:

GreyFox

attento fai anche un filtraggio per simboli come % < > ' " * e nella pagina stessa che interroga il db perche senno possono essere bypassati editando una richiesta http manualmente.

Come faccio?

Quote:

GreyFox

inoltre per evitare proxy o spammer utilizza o le lettere delle immagini (come quella per registrarti qui) oppure un'applet in java che prenda l'ip privato del visitatore

A questo penserò quando preparo la pagina per le registrazioni.

drimmy · 05-02-08, 15:32

Al termine del lavoro posto il codice ben commentato di tutte le pagine. Così da poter essere utilizzata da tutti coloro che vogliono una sezione privata nel proprio sito.

drimmy · 05-02-08, 16:05

Quote:

Thedarkita

La connessione va fatta in ogni pagina quindi conviene fare un file di configurazione ed includerlo in tutte le pagine

per quanto riguarda lo script sarebbe più corretto scrivere:
al posto di :

Codice PHP:


			
$sqlcmd .="WHERE user='$utente' AND pass='$pass' ";

questo:

Codice PHP:


			
$sqlcmd .="WHERE user='$_POST[utente]' AND pass='$_POST[pass]' ";

cosi eviti anche problemi con le impostazioni dei server

Ho fatto il file config.php che includo in tutte le pagine, per la query non ho capito la differenza...

drimmy · 05-02-08, 16:16

Ho aggiunto il filtro addslashes per evitare la sqlinjection e in effetti funziona, riporto il codice completo della pagina accesso:

Codice PHP:


			
<?php
$utente=$_POST['utente'];
$pass=$_POST['pass']; // ricevo i dati dal form di login
$utente= addslashes  ($utente); 
$pass= addslashes  ($pass); //filtraggio utente e pass per evitare sqlinjection

include 'configdb.php';

$sqlcmd = "SELECT * ";
$sqlcmd .= "FROM utenti ";
$sqlcmd .="WHERE user='$utente' AND pass='$pass' "; //select per ricerca dell'user & pass all'interno della tabella
$risultato = mysql_query( $sqlcmd ); // invio query al db
if (! $risultato)   //controllo interrogazione database
exit ("errore nell'interrogazione: $sqlcmd");

if (mysql_num_rows ($risultato)==0)  //controllo presenza user e pass nella tabella
{
exit ("Utente o Password errati");
$accesso="no";  //accesso non effettuato
}
else
$accesso="ok";  //accesso effettuato

session_start();
$_SESSION['accesso']=$accesso;  //salva lo stato di accesso per le seguenti pagine della sessione e il nome utente e pass
$_SESSION['utente']=$utente;
$_SESSION['pass']=$pass;

mysql_close($db);
?>

04-02-08, 12:32	#1 (permalink)
drimmy User Data di registrazione: Jan 2008 Messaggi: 168	Primi esperimenti per login utenti Ciao a tutti conosco da un po' di tempo il php e adesso sto cercando di applicarlo a mysql per una gestione dei login e registrazioni. Ho iniziato a fare qualche prova per il login, premetto che non sono andato a guardarmi come si fa o a copiare cose già fatte, quindi potrei aver fatto una cosa di bassissimo livello. Però per incominciare ho voluto provare a ragionarci su un po' per capire meglio, poi se esistono degli algoritmi migliori li vado a guardare. Per adesso non ho ancora considerato la sicurezza. vi posto il codice delle pagine che ho fatto di prova: Pagina di login: Codice: <html> <body> <form method="post" action="accesso.php"> <label>Utente: <input name="utente" type="text" id="utente" maxlength="20" /> </label> <p>Password:<label> <input name="pass" type="password" id="pass" maxlength="20" /> </label> </p> <p> <label> <input type="submit" name="Submit" value="Invia" /> </label> </p> </form> </body> </html> Pagina di accesso: Codice: <?php $utente=$_POST['utente']; $pass=$_POST['pass']; $db_host = "localhost"; $db_user = "root"; $db_password = ""; $db_name = "database"; $db = mysql_connect($db_host, $db_user, $db_password); if (! $db) echo "Errore durante la connessiona la database."; mysql_select_db($db_name) or exit ("errore durante la selezione del database"); $sqlcmd = "SELECT * "; $sqlcmd .= "FROM utenti "; $sqlcmd .="WHERE user='$utente' AND pass='$pass' "; $risultato = mysql_query( $sqlcmd ); if (! $risultato) exit ("errore nell'interrogazione: $sqlcmd"); if (mysql_num_rows ($risultato)==0) { exit ("Utente o Password errati"); $accesso="no"; } else $accesso="ok"; session_start(); $_SESSION['accesso']=$accesso; ?> <html> <head> <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1" /> <title>Documento senza titolo</title> </head> <body> <a href="pagina1.php"> pagina 1 </a> </body> </html> Pagina1 Codice: <?php session_start(); $accesso=$_SESSION['accesso']; if ($accesso!="ok") exit ("Accesso non effettuato"); ?> <html> <head> <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1" /> <title>Documento senza titolo</title> </head> <body> Pagina visibile <br /> <a href="logout.php">logout</a> </body> </html> Pagina di logout: Codice: <?php session_start(); session_destroy(); ?> <html> sessione terminata </html> Accetto tutti i vostri commenti e aiuti!! Grazie

04-02-08, 12:59	#2 (permalink)
drimmy User Data di registrazione: Jan 2008 Messaggi: 168	La prima domanda che mi sorge è: Se non chiudo la connessione al database nella pagina accesso, quando passo alla pagina1 la connessione rimane aperta o la devo rifare? Per ora la chiudo ad ogni pagina e la riapro la pagina dopo
	Ultima modifica di drimmy : 04-02-08 13:29.

04-02-08, 14:07	#3 (permalink)
Thedarkita ModSenior Data di registrazione: Aug 2006 Ubicazione: Messina Messaggi: 6,439	La connessione va fatta in ogni pagina quindi conviene fare un file di configurazione ed includerlo in tutte le pagine per quanto riguarda lo script sarebbe più corretto scrivere: al posto di : Codice PHP: `$sqlcmd .="WHERE user='$utente' AND pass='$pass' ";` questo: Codice PHP: `$sqlcmd .="WHERE user='$_POST[utente]' AND pass='$_POST[pass]' ";` cosi eviti anche problemi con le impostazioni dei server
	__________________ Gioca a calcio - Diventa un calciatore - instantempo

04-02-08, 20:46	#7 (permalink)
Thedarkita ModSenior Data di registrazione: Aug 2006 Ubicazione: Messina Messaggi: 6,439	Per la sicurezza devi filtrare i simboli come ' e " che posso modificarti la query puoi usare la funzione addslashes per aggiugnere gli \ davanti a questi simboli e quindi evitare questi codici dannosi
	__________________ Gioca a calcio - Diventa un calciatore - instantempo

04-02-08, 22:44	#9 (permalink)
Thedarkita ModSenior Data di registrazione: Aug 2006 Ubicazione: Messina Messaggi: 6,439	Link alla guida ufficiale del php: it2.php.net/addslashes
	__________________ Gioca a calcio - Diventa un calciatore - instantempo

Condividi questo contenuto nei Social Network:		Tweet
Ti stiamo aspettando: Registrati subito e gratis. Entra a far parte di una delle comunità più attive in Italia. Se hai dimenticato i tuoi dati li puoi recuperare subito.

04-02-08, 15:20	#4 (permalink)
GreyFox User Data di registrazione: Feb 2008 Messaggi: 91	attento devi filtrare gli imput seno è automatica una sqlinjection!

04-02-08, 21:25	#8 (permalink)
drimmy User Data di registrazione: Jan 2008 Messaggi: 168	puoi farmi un esempio? grazie

04-02-08, 23:12	#10 (permalink)
drimmy User Data di registrazione: Jan 2008 Messaggi: 168	grazie appena ho tempo gli do un'occhiata!

04-02-08, 23:13	#11 (permalink)
GreyFox User Data di registrazione: Feb 2008 Messaggi: 91	attento fai anche un filtraggio per simboli come % < > ' " * e nella pagina stessa che interroga il db perche senno possono essere bypassati editando una richiesta http manualmente...inoltre per evitare proxy o spammer utilizza o le lettere delle immagini (come quella per registrarti qui) oppure un'applet in java che prenda l'ip privato del visitatore ... un esempio di funzione per validare un campo puo essere: Codice PHP: `function quote_smart($value) { if (get_magic_quotes_gpc()) { $value = stripslashes($value); } if (!is_numeric($value)) { $value = "'" . mysql_real_escape_string($value) . "'"; } return $value; }`

05-02-08, 15:32	#13 (permalink)
drimmy User Data di registrazione: Jan 2008 Messaggi: 168	Al termine del lavoro posto il codice ben commentato di tutte le pagine. Così da poter essere utilizzata da tutti coloro che vogliono una sezione privata nel proprio sito.

05-02-08, 16:16	#15 (permalink)
drimmy User Data di registrazione: Jan 2008 Messaggi: 168	Ho aggiunto il filtro addslashes per evitare la sqlinjection e in effetti funziona, riporto il codice completo della pagina accesso: Codice PHP: <?php $utente=$_POST['utente']; $pass=$_POST['pass']; // ricevo i dati dal form di login $utente= addslashes ($utente); $pass= addslashes ($pass); //filtraggio utente e pass per evitare sqlinjection include 'configdb.php'; $sqlcmd = "SELECT * "; $sqlcmd .= "FROM utenti "; $sqlcmd .="WHERE user='$utente' AND pass='$pass' "; //select per ricerca dell'user & pass all'interno della tabella $risultato = mysql_query( $sqlcmd ); // invio query al db if (! $risultato) //controllo interrogazione database exit ("errore nell'interrogazione: $sqlcmd"); if (mysql_num_rows ($risultato)==0) //controllo presenza user e pass nella tabella { exit ("Utente o Password errati"); $accesso="no"; //accesso non effettuato } else $accesso="ok"; //accesso effettuato session_start(); $_SESSION['accesso']=$accesso; //salva lo stato di accesso per le seguenti pagine della sessione e il nome utente e pass $_SESSION['utente']=$utente; $_SESSION['pass']=$pass; mysql_close($db); ?>

Strumenti di discussione
Visualizza la versione stampabile Invia la pagina tramite email