Přihlašování uživatelů do webové aplikace v PHP (diskuse)

Chci autorovi velmi poděkovat za tento článek, přál bych si, aby se na téma php a php+mysql takto dle mého názoru dobře napsaných článků zde objevovalo více.

13.12.2021 06:42 geebranz
Rozbalit Rozbalit vše Re: poděkování

This has been really helpful

Rely

Basic http-auth neni sice plaintext, ale je fakt, ze base64 encoding neni zadna prekazka ;o] pokud jde o kontrolu IPcka, tak to nepouzivam, protoze sem se setkal se situacema, kde se muze zmenit pritupove IP (napr. clovek si pri vypnute siti vklidu vyplni formular, pak zapne modem a odesle - i kdyz obvykle by mel dostat stejny IPcko ale ne vzdy, nebo treba http-proxy bezici na vice strojich) - proste existuji vyjimky, takze je lepsi pouzit https nez omezovat nektery lidi ... ta test_sql je kravina ;o] ten retezec mas vzdy v apostrofech, takze problem by nastal kdyby se v onom vstupnim textu vyskytoval apostrof, takze se to resi... "SELECt ...WHERE pwd='".add_slashes($input)."'" ... s tim, ze pokud mas defaultne nastaveny PHP [php.ini: magic_quotes_gpc=1], tak aplikuje add_slashes na vsechny hodnoty vstupujici od clienta, takze uz to neni treba resit ... naopak, pokud nemas zaply macic_quotes, tak musis add_slashes aplikovat na vsechno, login, passwd, jinak mas (pro jednoduchost) treba select " ... WHERE heslo = '$input'" ... a client da na vstupu $input = " ' OR 'x' = 'x"; a je doma ...

30.6.2003 14:07 valy
Rozbalit Rozbalit vše jenom par pripominek ....

ad IP: jeste bych doplnil jeden pomerne aktualni problem se zmenou IP... jsem pripojen pres Eurotel Data Nonstop a pokud prijmu hovor, ktery trva dele, tak se nekdy stane, ze GPRS spojeni se ukonci a po ukonceni hovoru se navaze nove - internet sice "bezi dal", ale s jinou IP... (pokud si nenachate pridelit pevnou IP (za poplatek)) jinak prinosny clanek ;)

17.6.2005 14:28 lix
Rozbalit Rozbalit vše Re: jenom par pripominek ....

take jsem se setkal s tim ze se v prubehu pripojeni zmenilo IP zakaznika. Mam svuj vlastni login system (velmi podobny tomuto) a jednoduche reseni je ke kazdemu uctu pridani volby "use_ip". Pokud ma hodnotu 0, tak se kontrola IP neprovadi ;)

30.6.2003 14:47 User682 | skóre: 38 | blog: aqarium | Praha
Rozbalit Rozbalit vše jenom par pripominek ....

osobne bych daval fukce addslashes() a stripslashes() na vse co jde z a do database. spolehat se na to, ze server, na ktery date aplikaci , je volba magic_quotes_gpc zapnuta, se mi nezda jako nejlepsi. pocitejte s tim, ze aplikaci muzete pouzit i nekde jinde a totez i casti kodu. a potom si muzete trhat vlasy, kdyz predelavate cele kusy zdrojaku. mozna ma nekdo jiny nazor.
kontrola IP je hezka vec, ale staci kdyz jsou dva lidi za proxinou a pouzivaji stejnou aplikaci.

30.6.2003 16:49 z3ro
Rozbalit Rozbalit vše jenom par pripominek ....

donedavna sem k tomu takto pristupoval, ale vzledem k tomu, ze to je standartne zaple tak to clovek nesmi zapomenout localne vypnout .... (jinak to pak nefunguje spravne) ale hlavne se radsi drzim bezpecnejsiho defaultniho nastaveni php a pocitam s tim ze je to zaple stejne jako treba register_globals=off, protoze clovek nikdy nevi kdy nekde zapomene neco odslashovat apod... samozrejme zalezi na konkretni situaci, obecne bych se ale drzel defaultniho (dneska uz pomerne bezpecneho) nastaveni php uz neni zadny problem na zacatek nejakyho initscriptu vrazit: if (!get_magic_quotes_gpc()) die("invalid magic_quotes_gpc setting"); apod.... krome toho rozumny webmaster chce mit bezpecneji nastavene php, a pak sosne nejakou php aplikaci a zjisti ze mu to s timto nastavenim nebezi (klasicky pripad: register_globals=off) ;]]

30.6.2003 17:22 met | skóre: 9 | Praha
Rozbalit Rozbalit vše jenom par pripominek ....

> krome toho rozumny webmaster chce mit bezpecneji nastavene php, a pak sosne nejakou php aplikaci a zjisti ze mu to s timto nastavenim nebezi (klasicky pripad: register_globals=off) To znam a to bych kolikrat strilel :-(

1.7.2003 07:40 Leoš Literák | skóre: 74 | blog: LL | Praha
Rozbalit Rozbalit vše jenom par pripominek ....

krome toho rozumny webmaster chce mit bezpecneji nastavene php neodpustim si poznamku: bezpecnost a PHP, to jde dohromady? ;-)

Zakladatel tohoto portálu. Twitter, LinkedIn, blog, StackOverflow

1.7.2003 13:02 Pavel Beníšek | skóre: 27
Rozbalit Rozbalit vše jenom par pripominek ....

Leoši: bezpecnost a java to jde dohromady? :) .. ono se vsude nejdou nejaky chyby, ale vetsinu bezpecnostnich chyb stejne IMHO vytvari autori aplikaci (a je temer jedno v jakem jazyce). Souhlasil jsem s tebou v clanku o web aplikaci abclinuxu, kde jsi psal ze PHP svadi k neprehlednemu stylu programovani. Je to pravda, ale stejne tak je to s bezpecnosti. Kdyz nejsi liny a das si praci, tak ji muzes docela slusne pomoci i v PHP. Pak samozrejme jeste zalezi jak mas nastaveny server/apache/php. addslashes() je dobry napad, opravdu mi to nedoslo. Diky za info. S tou IP by nemely byt problemy do chvile nez se v ramci jedne relace zmeni. Pokud bude vice uzivatelu na jedne IP, vubec to nevadi. Samozrejme ze https je bezpecnejsi, ale ne vsichni maji svuj server aby si ho mohli zapnout, takze tohle prihlasovani je klasicky kompromis cena/vykon :)

checking for chicken... must have egg first

30.6.2003 15:37 HubbleBubble
Rozbalit Rozbalit vše jenom par pripominek ....

Zajímalo by mě, jestli jde zkombinovat autorizace v Apachi a PHP. Tedy jestli se může PHP dozvědět od Apache identitu autentikovaného uživatele. Pokud autorizace proběhla prostředky, které nabízí apache.

30.6.2003 16:54 jk
Rozbalit Rozbalit vše jenom par pripominek ....

ano, staci nahlednout do manualu a koukam, je to dokonce cesky :-)

http://www.php.net/manual/cs/features.http-auth.php

Jak je cely priklad ochranen proti sniffnuti hesla snortem? Vse se posila post ve formulari-takze odchyceni hesla, pripadne celeho session ID by IMHO nebylo problem. Pri takovem typu autentizace je https naprostou nutnosti-bylo by dobre to zminit. Rovnez by bylo dobre ukladat heslo do db nikoli jako plaintext, ale napr. pres MD5. Pokud user zapomene heslo, musi mu ho admin zmenit-NIKDO, vcetne admina by nemel mit informaci o tom, jake user pouziva hesla. Spatne by nebylo pouzit md5 jiz na strane klienta-rovnou to napr. JS funkci prozene md5 a pak to teprve posle na overeni k databazi (samozrejme pres https). Dalsi veci je zamknuti uctu-po 3(nebo vice) neuspesnych prihlasenich by to melo ucet zamknout a poslat mail adminovi-jinak se vystavujeme moznosti prolomeni hrubou silou.

1.7.2003 17:03 Carlos
Rozbalit Rozbalit vše HTTPS je nutnost

Ja ten clanek cet a k -> Rovnez by bylo dobre ukladat heslo do db nikoli jako plaintext, ale napr. pres MD5. Cituji z clanku Protože jsou hesla v databázi hashovány metodou md5, zde je část PHP kódu, který vloží uživatele "test" s heslem "test" do databáze. Samozřejmě musí předcházet připojení k databázi. $myusername="test"; $mypw=md5("test"); $query="INSERT INTO test_users SET username='".$myusername."', pw='".$mypw."'"; $result = mysql_query($query,$db); nebo tim bylo mysleno neco jineho?

1.7.2003 22:34 Jirka Hradil (jirka@hradil.cz)
Rozbalit Rozbalit vše HTTPS je nutnost

Je to presne tak, mate pravdu. Prehledl jsem se. ;)

17.6.2005 14:47 lix
Rozbalit Rozbalit vše Re: HTTPS je nutnost

Castecne s vami souhlasim. Hashovani hesla na strane klienta je velmi uzitecna vec. Pokud ovsem ma navstevnik JS vypnuty, je nutno s tim pocitat a napriklad jej upozornit na bezpectnostni nasledky. Sniffnuti session ID by dle meho nazoru nebylo az takovy problem...pokud je tu ta kontrola IP, tak ma utocnik znacne stizenou praci. Nevidim prilis do problematiky "klamani IP adres" a uvitam nazory. Chci ale upozornit ze ani HTTPS neni za urcitych okolnosti 100% bezpecne. Myslim tedy, ze autorovo reseni je dobre.

29.8.2006 12:30 Pavel Beníšek | skóre: 27
Rozbalit Rozbalit vše Re: HTTPS je nutnost

Diky. Jen doplnim, ze na klientu se heslo nehashuje. Posle se v plain textu. Tim odpada nutnost pouziti javascriptu. Castecna ochrana je, ze se alespon posila pouze pri prihlasovani a dal se pouziva vygenerovany retezec jako session id. Samozrejme ze pouziti https nic nebrani, jen to je uz trochu z jineho soudku.

checking for chicken... must have egg first

našel jsem malou chybku: při odhlašování je samozřejmě nutné vynulovat i proměnou is_logged a to ve funkci logout jinak se při stisku tlačítka odhlásit navenek nic nestane a odhlášení se projeví až pri obnovení stránky

Nejsem v php zadny profik, s OOP zacinam a uz jsem myslel, ze jsem do toho trochu pronikl, ale asi ne. Jestilze je pouzita prom. $login->is_logged pro kontrolu prihlaseni, znamena to, ze kazdy uzivatel ma tuto promennou 'svoji'? Pokud tomu tak je, proc v tomto pripade pouzivat session, kdyz data jsou dostupne v $login -> xxx? Muze mi to prosim nekdo vysvetlit? dik

24.8.2003 21:20 Pavel Beníšek | skóre: 27
Rozbalit Rozbalit vše Dotaz ohledně OOP

Protoze po nacteni stanky je nutne pokazde identifikovat jaky uzivatel na stranky pristupuje. Http je bezstavovy protokol, kdyby byl stavovy zadne sessions by nebyly nutne.

checking for chicken... must have egg first

Mel bych takovy lamersky dotaz.... Odkazuji se na dany soubor index.php z jine stranky kliknutim na tlacitko, ale objevi se jen prazdna stranka (jako by se skript neprovedl), kdyz pak dam refresh, tak uz se nacte prihlasovaci tabulka z index.php. Nevite v cem muze byt problem?

PS: kdyz zadam primo odkaz na .../index.php, tak se vse nacte hned (nemusim davat refresh). Diky moc.

31.5.2005 14:21 Jirkas
Rozbalit Rozbalit vše Re: dotaz

Bohužel se skriptem mam podobný problém :-(

24.6.2005 14:54 Jirka
Rozbalit Rozbalit vše Re: dotaz

Trochu jsem si s tim logováním pohrál a přišel jsem na příčinu zasekávání scriptu: Zaseknutí způsobuje hlavička ale nevím proč :-(

Pouzil jsem tento kod a trochu ho predelal pro sve potreby. Nejsem v PHP tak dobrej abych to zvladnul, proto zapasim s automatickym odhlasovanim. Pri prihlaseni se mi naplni session v tabulce "user". Vzhledem k tomu, ze zobrazuju aktualne prihlasene uzivatele, musim pri odhlaseni session vypraznit. Nejak se nemuzu dohrabat k tomu, jak to udelat kdyz tu stranku jen zavru a neodhlasim se. System me odhlasi takze se pri dalsim pristupu na stranky nedostanu, ale pro ostatni uzivatele jsem porad pripojen, protoze session zustala naplnena. Poradi mi nekdo co s tim? DIK

29.1.2005 22:02 Pavel Beníšek | skóre: 27
Rozbalit Rozbalit vše Re: dotaz

To bohuzel zjistite jedine tak, ze sectete pocet uzivatelu jejichz posledni pristup byl pred dejme tomu peti minutami. Jinak nez odhadem nemate moznost zjistit jestli je uzivatel "opravdu" prihlasen, nebo ne.

checking for chicken... must have egg first

Pokousim se zkusit rozjet mysql a to prihlasovani. Spustil jsem server mysqld, spustil jsem sluybu klienta mysqld -u root a nacetl tu stranku index.php. Ale psalo mi to, ze 2. radek v index.php - nemuze otevrit seesion pro cteni nebo zapis. tak jsem ten prikaz start_session() vynechal a pise to chybu na 102 radku v souboru db_init, hodnota prom. result null nebo "". Spustil jsem ten server spravne? ten ctu, ze mam zadat jeste prikaz save_mysqld & - ma to na to vliv? A co vztvoreni databaze. Nenasel jsem tam zadny soubor s databazi. To si mam vytvorit sam? A co registrace, ta tam neni zabudovana? Dik.

Staci mala uprava scriptu napriklad takto



if($_GET[logout]==1){
	$login->logout();
}

if(isset($_POST[login_name]) and isset($_POST[login_pw])){
	$login->first_login();
}

a bude fungovat i pri register_globals = Off

Ako zmenim znakovu sadu na windows-1250? Pretoze v subore header.php to nefunguje spravne. Prosim o radu.

Výborný článek! Chválím! Určitě nejlepší článek se zdrojovým kódem, co jsem našel!

podivej se jestli mas stejne jmeno tabulky v login.php i v databazi

radek 46

$this->table="test-users";

16.8.2006 18:54 smoce
Rozbalit Rozbalit vše Re: Přihlašování uživatelů do webové aplikace v PHP

ne nepomohlo to ted to nic neukazuje ale je tam formulař vyplnim a nejde přihlasit

16.8.2006 18:57 smoce
Rozbalit Rozbalit vše Re: Přihlašování uživatelů do webové aplikace v PHP

už to jde diky

Zdarvím, vše uspěšně funguje, prihlasím se na stránce index.php a deje to v poho. Ale co kdyz potrebujipřejít na jiný soubor který má být stále zabezpečený treba index2.php Stačí držet sesion na te nové stránce nebo je potřeba neco víc ?

25.8.2006 16:47 Prkny
Rozbalit Rozbalit vše Re: Přihlašování uživatelů do webové aplikace v PHP

Fajn, vypada to ze jsem to vyresil sam, ale potrebuju aby se na to jeste nekdo kouknul abych neudelal nekde bezpecnosti botu.
Prihlasim se na index.php tak jak to je zde popsano, akorat ten odesilaci formular presmeruji na treba index2.php, kde je na zacatku tato podminka:
if ($login->is_logged<>1){
header("Location: index.php?logout=1");
Exit;
}
Tuhle podminku lze dat do jednoho souboru a pote ji includovat, tzn. Na zacatku kazdeho souboru, který budeme chtit mit zabezpeceny includujeme tuto definici a mame vystarano. Alespon doufam. Muze na to nekdo kouknout zda mi tam neco bezpecnostniho neutelko? Diky

29.8.2006 11:22 Pavel Beníšek | skóre: 27
Rozbalit Rozbalit vše Re: Přihlašování uživatelů do webové aplikace v PHP

Ahoj, nemusis tu stranku nikam presmerovavat, ale pokud ji musis z nejakych duvodu precejen presmerovat, tak staci mit na zacatku (jeste pred html) includovany soubor

includes/header.php

a potom uz jen kontrolujes v kodu promennou $login->is_logged. Kdyz je 1 tak je uzivatel prihlaseny a kdyz je 0 tak neni.

Ten include musi byt uplne na zacatku kvuli tvorbe session. Asi by si s tim slo pohrat a rozdelit to na dve casti, ale ja jsem to chtel mit co nejjednodussi na spravu.

Hodne stesti

checking for chicken... must have egg first

Prosim muze mi nekdo poradit, co mam vyplnit v databazi? v poho se tam pripojim vyplnim kazdou kolonku jmeno heslo atd a kdyz se chci prihlasit tak nic. dik

Mohu mít dotaz, zda se dá něco dělat pokud uživatel zapomene heslo, dá se tomuto uživateli jeho heslo poslat např. emailem ?

6.9.2007 06:25 Matyáš Dvořák | skóre: 13
Rozbalit Rozbalit vše Re: Přihlašování uživatelů do webové aplikace v PHP

neda, protoze je zasifrovane md5kou, je nutno do db proto vlozit novy md5 hash, pokud to nechces desifrovat :)

savalo.dev

6.9.2007 17:32 Jirka
Rozbalit Rozbalit vše Re: Přihlašování uživatelů do webové aplikace v PHP

Diky za odpoved, moc to nechapu, novy md5 hash ? Jako preprogramovat aplikaci s novym typem md5 ? Nepotrebuji nic jineho, než aby nejlepe tato prihlasovaci aplikace mohla míti možnost zaslat uzivateli stracené nebo zapomenuté heslo. Na jakém principu funguje to zasilaní hesla? Musí se to s md5 rozsifrovat a poslat uzivateli ? Děkuji

7.9.2007 15:43 Matyáš Dvořák | skóre: 13
Rozbalit Rozbalit vše Re: Přihlašování uživatelů do webové aplikace v PHP

Zasilani hesla: staci vygenerovat nove heslo a poslat ho mailem uzivateli.

1) md5('jirka'); udela z jirka tento hash: 742f1e246d243ace2f7f4316c3fe6347

2) ten se ulozi do databaze misto stareho

savalo.dev

8.9.2007 08:21 Jirka
Rozbalit Rozbalit vše Re: Přihlašování uživatelů do webové aplikace v PHP

Co dodat více... Děkuji.

Mě to vůbec nefunguje. Můžete mi prosím poradit? dík

Zdravím, po delší době od napsání tohoto článku jsem se k němu dostal a potřeboval bych poradit; snad se najde nějaká dobrá duše, která mi odpoví.

Funguje mi pouze úvodní stránka - stránka s informací, že uživatel je nepřihlášen a přihlašovacím formulářem. Když zadám přihlašovací údaje, tak se mi opět zobrazí tato stránka bez jakékoli změny. Stejně tak tomu je i při zadání špatných údajů, tj. nezobrazí se mi hláška o špatném přihlášení.

Formulář se ale odesílá, když zadám něco do form - action=" ", tak se mi zobrazí to, co má. Databáze by také měla fungovat, když zadám špatné přihlašovací údaje, tak se mi zobrazí chybová hláška.

Poradíte mi prosím někdo, co s tím?

Děkuji

AHojte, prosim vas..poradte mi, udelal jsem prihlaseni a bezi...nicmene mam jeden problem..pokud je uzivatel neprihlasen, neni aktivni menu, pokud se prihlasi, potom je menu aktivni, to je ok, ale ja potrebuju, aby kdyz se prihlasi, otevre se mu urcita stranka, treab uzivatel/zakaznik1.php, to bude ulozeno v promenny v databazi..nicmene potrebuju, aby tuto stranku nemohl otevrit nikdo jiny...aby si proste nezadal do odkazu treba uzivatel/zakaznik1.php a jemu to tu stranku neotevrelo, pokud nebude prihlasen, mozna je to pitomej dotaz, ale prosim jasnou odpoved, stejne dobrou jako byl napsany navod.. diky moc..

7.9.2009 19:07 Climberg
Rozbalit Rozbalit vše Re: Přihlašování uživatelů do webové aplikace v PHP

Ahoj, me taky po nakopirovani na server prihlasovani nefungovalo, ale stacilo v souboru header.php nahradit tento radek

if(isset($login_name) and isset($login_pw)){

radkem novym

if(isset($_POST["login_name"]) and isset($_POST["login_pw"])){

Pak vyjde podminka pravdiva a zavola se fce first_login() a vse jede jak ma ;-) Se starym vychazela podminka neustale FALSE. Snad to pomuze..

11.4.2010 21:07 Jakub
Rozbalit Rozbalit vše Re: Přihlašování uživatelů do webové aplikace v PHP

Ahoj, sice už je to starý dotaz, ale.... :)

Jak napsal Climberg, musíš použít delší zápis proměnných (POST_promenna), protože máš v PHP (konkrétní editace v php.ini) evidentně nastavené "register_globals" na Off (což je dnes když ne standard, tak rozhodně bezpečnější:)

Prosím nemohl by mi někdo vysvětlit jak to zprovoznit? Stáhnul jsem si zdrojový kod a přepsal db_int. vytvořil v databázi test_user a nic. 1. problém je že se mi nechce vůbec zapsat uživatel Test do db. a ať do formu napíšu co napíšu tak se znova načte stránka index.php a nic .. žádná chyba nic to nevypíše :-(

.. už sem z toho fakt zoufalej. .. pokud by mi někdo pomhl a polopaticky vysvětlil byl bych moc rád. Dík

Mám dotaz... ako dorobiť práva pre užívateľov napr.. tento môže ta a tento len tam ?

Může mi prosím někdo pomoct s UTF8? Vše jsem přeuložil do utf8, databáze je v utf8, stránky se zobrazují korektně, ale nekorektní je výstup z databáze. Místo českých znaků se zobrazí paskvily. Nevíte někdo co s tím...

2.10.2010 11:10 Tomas
Rozbalit Rozbalit vše Re: UTF8

mysql_query('SET NAMES utf8');

Zdravím... musím uznat, že je to opravdu super aplikace, sestavil jsem na tom celý web a paráda...

Mám ale jeden problém... Nevím čím to je, ale když jsem přihlášený a proklikávám se webem, tak se mi občas stane, že mě to odhlásí z ničeho nic... Prošel jsem celý puvodní script i můj upravený a všechno se zdá OK... nevíte kde by mohla být chyba???

13.8.2011 00:38 lukinpark
Rozbalit Rozbalit vše Re: Přihlašování uživatelů do webové aplikace v PHP

Zjistil jsem, že se mi občas vůbec nenačtou proměnní $_SESSION["login_name"] a $_SESSION["session_login_string"]... prostě jsou prázdné... a když refrešuju stránku, tak se mi tam zase objeví...

13.8.2011 16:06 Matyáš Dvořák | skóre: 13
Rozbalit Rozbalit vše Re: Přihlašování uživatelů do webové aplikace v PHP

Pozor, chystáte se komentovat 2966 dní dní starou diskusi. :)

Mozna je to nenastartovanou session nebo se tam ulozi neco jineho v prubehu skriptu.. print_r($_SESSION); ?

savalo.dev

13.8.2011 17:10 lukinpark
Rozbalit Rozbalit vše Re: Přihlašování uživatelů do webové aplikace v PHP

Problém byl na hostingu a tam, kde se sessiony ukládaly... stačilo přidat 3 řádky


ini_set('session.save_path', '/tmp'); 

ini_set('session.save_handler', 'files' );

session_name("nazev_sessionu");

"Thanks for sharing this interesting blog here
Edmonton Tree Removal

'
bol@treeremovaledmonton.org"

"Thank you for this amazing blog!

Tree Service Santa Fe

"Very useful and informative post! Concrete Red Deer"

I really enjoy reading your posts. great work! Accounting Firm Sherwood Park

I really enjoy reading your posts. great work! Carpet Cleaning Regina

Thank you, I know this is old news, but it's good to see how far we have come! Carpet cleaners London