Primi esperimenti per login utenti

[drimmy]

Ciao a tutti conosco da un po' di tempo il php e adesso sto cercando di applicarlo a mysql per una gestione dei login e registrazioni. Ho iniziato a fare qualche prova per il login, premetto che non sono andato a guardarmi come si fa o a copiare cose già fatte, quindi potrei aver fatto una cosa di bassissimo livello. Però per incominciare ho voluto provare a ragionarci su un po' per capire meglio, poi se esistono degli algoritmi migliori li vado a guardare. Per adesso non ho ancora considerato la sicurezza. vi posto il codice delle pagine che ho fatto di prova:


Pagina di login:

Codice:

<html>
<body>
<form method="post" action="accesso.php">
  <label>Utente:
  <input name="utente" type="text" id="utente" maxlength="20" />
  </label>
  <p>Password:<label>
    <input name="pass" type="password" id="pass" maxlength="20" />
    </label>
  </p>
  <p>
    <label>
    <input type="submit" name="Submit" value="Invia" />
    </label>
  </p>
</form>
</body>
</html>

Pagina di accesso:

Codice:

<?php
$utente=$_POST['utente'];
$pass=$_POST['pass'];
$db_host = "localhost";
$db_user = "root";
$db_password = "";
$db_name = "database";

$db = mysql_connect($db_host, $db_user, $db_password);
if (! $db)
echo "Errore durante la connessiona la database.";

mysql_select_db($db_name) or exit ("errore durante la selezione del database");

$sqlcmd = "SELECT * ";
$sqlcmd .= "FROM utenti ";
$sqlcmd .="WHERE user='$utente' AND pass='$pass' ";
$risultato = mysql_query( $sqlcmd );
if (! $risultato) 
exit ("errore nell'interrogazione: $sqlcmd");
if (mysql_num_rows ($risultato)==0)
{
exit ("Utente o Password errati");
$accesso="no";
}
else
$accesso="ok";

session_start();

$_SESSION['accesso']=$accesso;

?>


<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1" />
<title>Documento senza titolo</title>
</head>
<body>
<a href="pagina1.php"> pagina 1 </a>
</body>
</html>

Pagina1

Codice:

 <?php
session_start();
$accesso=$_SESSION['accesso'];
if ($accesso!="ok")
exit ("Accesso non effettuato");
?>


<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1" />
<title>Documento senza titolo</title>
</head>
<body>
Pagina visibile
<br />
<a href="logout.php">logout</a>
</body>
</html>

Pagina di logout:

Codice:

<?php
session_start();
session_destroy();
?>
<html>
sessione terminata
</html>

Accetto tutti i vostri commenti e aiuti!!
Grazie

	Mysql Mysql è un tipo di database

	PHP E' una piattaforma trasversale lato server scripting language utilizzata per la creazione di pagine web dinamiche

[drimmy]

La prima domanda che mi sorge è:
Se non chiudo la connessione al database nella pagina accesso, quando passo alla pagina1 la connessione rimane aperta o la devo rifare? Per ora la chiudo ad ogni pagina e la riapro la pagina dopo

[Thedarkita]

La connessione va fatta in ogni pagina quindi conviene fare un file di configurazione ed includerlo in tutte le pagine

per quanto riguarda lo script sarebbe più corretto scrivere:
al posto di :

Codice PHP:

$sqlcmd .="WHERE user='$utente' AND pass='$pass' "; 


questo:

Codice PHP:

$sqlcmd .="WHERE user='$_POST[utente]' AND pass='$_POST[pass]' "; 


cosi eviti anche problemi con le impostazioni dei server

	Server Ogni coppia hardware-software che fornisce appunto servizi ad utenti chiamati tradizionalmente clienti (clients) attraverso una rete.

[GreyFox]

attento devi filtrare gli imput seno è automatica una sqlinjection!

[Thedarkita]

attento devi filtrare gli imput seno è automatica una sqlinjection!

ha scritto che per adesso tralasciava la sicurezza...

[drimmy]

attento devi filtrare gli imput seno è automatica una sqlinjection!

Adesso cerco di ottimizare anche la sicurezza, puoi spiegarmi meglio? grazie

[Thedarkita]

Per la sicurezza devi filtrare i simboli come ' e " che posso modificarti la query

puoi usare la funzione addslashes per aggiugnere gli \ davanti a questi simboli e quindi evitare questi codici dannosi

	Addslashes addslashes è una funzione di PHP che immette in una stringa di testo il carattere backslash \, anteponendolo a tutti quei caratteri sensibili che lavoreremo con le nostre istruzioni.

[drimmy]

puoi farmi un esempio? grazie

[Thedarkita]

Link alla guida ufficiale del php:
it2.php.net/addslashes

	Link Collegamento Ipertestuale

	PHP E' una piattaforma trasversale lato server scripting language utilizzata per la creazione di pagine web dinamiche

	Addslashes addslashes è una funzione di PHP che immette in una stringa di testo il carattere backslash \, anteponendolo a tutti quei caratteri sensibili che lavoreremo con le nostre istruzioni.

[drimmy]

grazie appena ho tempo gli do un'occhiata!

[GreyFox]

attento fai anche un filtraggio per simboli come % < > ' " * e nella pagina stessa che interroga il db perche senno possono essere bypassati editando una richiesta http manualmente...inoltre per evitare proxy o spammer utilizza o le lettere delle immagini (come quella per registrarti qui) oppure un'applet in java che prenda l'ip privato del visitatore ...

un esempio di funzione per validare un campo puo essere:

Codice PHP:

function quote_smart($value)
{

if (get_magic_quotes_gpc()) {
$value = stripslashes($value);
}

if (!is_numeric($value)) {
$value = "'" . mysql_real_escape_string($value) . "'";
}
return $value;
} 


	IP Indirizzo numerico che identifica ogni computer collegato a Internet in maniera univoca

	Proxy Programma che interagisce tra un utente ed un server inviando le risposte dell'uno alle richieste dell'altro.

	http Protocollo progettato per migliorare la qualità e ottimizzare le prestazioni di sistemi distribuiti per la collaborazione e la condivisione delle informazioni. Utilizzato anche come protocollo generico nelle connessioni internet che devono attraversare strati software quali proxy e gateway.

[drimmy]

attento devi filtrare gli imput seno è automatica una sqlinjection!

Ho approfondito l'argomento e una sqlinjection è molto pericolosa quanto semplice da fare, quindi è indispensabile metterla fuori uso. Adesso vedo cosa mi avete consigliato di fare e provo a sistemarlo

attento fai anche un filtraggio per simboli come % < > ' " * e nella pagina stessa che interroga il db perche senno possono essere bypassati editando una richiesta http manualmente.

Come faccio?

inoltre per evitare proxy o spammer utilizza o le lettere delle immagini (come quella per registrarti qui) oppure un'applet in java che prenda l'ip privato del visitatore

A questo penserò quando preparo la pagina per le registrazioni.

[drimmy]

Al termine del lavoro posto il codice ben commentato di tutte le pagine. Così da poter essere utilizzata da tutti coloro che vogliono una sezione privata nel proprio sito.

[drimmy]

La connessione va fatta in ogni pagina quindi conviene fare un file di configurazione ed includerlo in tutte le pagine

per quanto riguarda lo script sarebbe più corretto scrivere:
al posto di :

Codice PHP:

$sqlcmd .="WHERE user='$utente' AND pass='$pass' "; 


questo:

Codice PHP:

$sqlcmd .="WHERE user='$_POST[utente]' AND pass='$_POST[pass]' "; 


cosi eviti anche problemi con le impostazioni dei server

Ho fatto il file config.php che includo in tutte le pagine, per la query non ho capito la differenza...

	PHP E' una piattaforma trasversale lato server scripting language utilizzata per la creazione di pagine web dinamiche

[drimmy]

Ho aggiunto il filtro addslashes per evitare la sqlinjection e in effetti funziona, riporto il codice completo della pagina accesso:

Codice PHP:

<?php
$utente=$_POST['utente'];
$pass=$_POST['pass']; // ricevo i dati dal form di login
$utente= addslashes  ($utente); 
$pass= addslashes  ($pass); //filtraggio utente e pass per evitare sqlinjection

include 'configdb.php';

$sqlcmd = "SELECT * ";
$sqlcmd .= "FROM utenti ";
$sqlcmd .="WHERE user='$utente' AND pass='$pass' "; //select per ricerca dell'user & pass all'interno della tabella
$risultato = mysql_query( $sqlcmd ); // invio query al db
if (! $risultato)   //controllo interrogazione database
exit ("errore nell'interrogazione: $sqlcmd");

if (mysql_num_rows ($risultato)==0)  //controllo presenza user e pass nella tabella
{
exit ("Utente o Password errati");
$accesso="no";  //accesso non effettuato
}
else
$accesso="ok";  //accesso effettuato

session_start();
$_SESSION['accesso']=$accesso;  //salva lo stato di accesso per le seguenti pagine della sessione e il nome utente e pass
$_SESSION['utente']=$utente;
$_SESSION['pass']=$pass;

mysql_close($db);
?>

	PHP E' una piattaforma trasversale lato server scripting language utilizzata per la creazione di pagine web dinamiche

	Addslashes addslashes è una funzione di PHP che immette in una stringa di testo il carattere backslash \, anteponendolo a tutti quei caratteri sensibili che lavoreremo con le nostre istruzioni.