авторизация

@suhoi1993 · Регистрация: 23.01.2014

Студворк — интернет-сервис помощи студентам

На сколько безопасна такая авторизация

PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
<?
include("conf.php");
if(isset($_POST['sub'])){
    $log =$_POST['login'];
    $pass =md5($_POST['pass']);
    $avtoriz = mysql_query("SELECT name, pass FROM user WHERE name='$log' AND pass='$pass'") or die (mysql_error());
    if(mysql_num_rows($avtoriz)>0){
        $_SESSION['name']=$log;
        echo '<script type="text/javascript">'; 
        echo 'window.location.href="/main.php";'; 
        echo '</script>';
        }
    else{
        echo 'Неправельный логин или пароль';}
    
    }
?>

@Jodah · 04.01.2016, 17:56

Для начала нормально. Только в сессию лучше добавлять id пользователя, а не логин.

@UchihaSV · 04.01.2016, 17:58

Ну тут есть уязвимость к SQL-инъекциям.

mysql_query не рекомендуется использовать для работы с базой, его могут убрать в след версиях PHP.
А рекомендуют, mysqli или PDO.

@suhoi1993 · 04.01.2016, 18:08 **[ТС]**

UchihaSV, какая уязвимость как устранить?

@UchihaSV · 04.01.2016, 19:03

suhoi1993, посмотрите в интернете, там все подробно объясняется.

@suhoi1993 · 04.01.2016, 19:22 **[ТС]**

UchihaSV, так

PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
<?
include("conf.php");
if(isset($_POST['sub'])){
    $log =$_POST['login'];
    $log = str_replace(",","",$log);
    $log = str_replace("/","",$log);
    $log = str_replace("{","",$log);
    $log = str_replace("}","",$log);
    $log = str_replace("<","",$log);
    $log = str_replace("$","",$log);
    $log = str_replace(">","",$log);
    $log = str_replace(";","",$log);
    $pass =md5(md5(md5($_POST['pass'])));
    $avtoriz = mysql_query("SELECT name, pass FROM user WHERE name='$log' AND pass='$pass'") or die (mysql_error());
    if(mysql_num_rows($avtoriz)>0){
        $_SESSION['name']=$log;
        echo '<script type="text/javascript">'; 
        echo 'window.location.href="/main.php";'; 
        echo '</script>';
        }
    else{
    
        echo 'Неправельный логин или пароль';}
    
    }
?>

@Jodah · 04.01.2016, 19:33

suhoi1993, прошу прощения, очевидного не заметил.

PHP
1
$log = mysql_real_escape_string($_POST['login']);

А вырезание лишних символов - на ваше усмотрение.

@evgenkur · 05.01.2016, 03:41

это не авторизация (на википедии пробить нужно что означает это слово)

@suhoi1993 · 05.01.2016, 08:20 **[ТС]**

evgenkur, умник как раз это и есть авторизация
Авториза́ция (англ. authorization — разрешение, уполномочивание) — предоставление определённому лицу или группе лиц прав на выполнение определённых действий; а также процесс проверки (подтверждения) данных прав при попытке выполнения этих действий.[1][2][3] Часто можно услышать выражение, что какой-то человек «авторизован» для выполнения данной операции — это значит, что он имеет на неё право.

@JimUSA · 05.01.2016, 18:13

Хотя тоже не совсем понял какая разница.

Википедия

Авториза́ция (англ. authorization — разрешение, уполномочивание) — предоставление определённому лицу или группе лиц прав на выполнение определённых действий; а также процесс проверки (подтверждения) данных прав при попытке выполнения этих действий.[1][2][3] Часто можно услышать выражение, что какой-то человек «авторизован» для выполнения данной операции — это значит, что он имеет на неё право.

Авторизацию не следует путать с аутентификацией: аутентификация — это процедура проверки легальности пользователя или данных, например, проверки соответствия введённого пользователем пароля к учётной записи паролю в базе данных, или проверка цифровой подписи письма по ключу шифрования, или проверка контрольной суммы файла на соответствие заявленной автором этого файла. Авторизация же производит контроль доступа легальных пользователей к ресурсам системы после успешного прохождения ими аутентификации. Зачастую процедуры аутентификации и авторизации совмещаются.

@evgenkur · 06.01.2016, 00:08

у меня для вас печальные новости, если вы не можете понять что написано в википедии.

Добавлено через 2 минуты
suhoi1993, я не сомневался в вашей не компетентности, можно было не отвечать

@JimUSA · 06.01.2016, 00:38

Сообщение от evgenkur

у меня для вас печальные новости, если вы не можете понять что написано в википедии.

Не по теме:

К чему этот базар? если вы не поняли моего сообщения, лучше не отписывали бы. :facepalm:

@Jewbacabra · 06.01.2016, 02:37

Не по теме:

Сообщение от suhoi1993

$pass =md5(md5(md5($_POST['pass'])));

А почему 3 раза md5, а не 10?

Добавлено через 5 минут
Аутентификация - определение кто ты есть.
Авторизация - проверка имеешь ли ты (кто ты уже определено - значит аутентификация уже пройдена) полномочия на определенное действие

@Jodah · 06.01.2016, 02:54

Сообщение от JimUSA

Хотя тоже не совсем понял какая разница.

Насколько я понял, разница в этапах:

PHP
1
2
3
4
// Здесь начинается аутентификация, проверка данных на соответствие.
$result = mysql_query("SELECT * FROM `users` WHERE `login` = '$login' AND `pass` = '$pass'"); /
if(mysql_num_rows($result) == 1)
    $_SESSION['login'] = $login; // А это уже авторизация, предоставление юзеру прав.

Сообщение от evgenkur

это не авторизация (на википедии пробить нужно что означает это слово)

Исходя из вышесказанного, это всё таки авторизация, поскольку есть эта строчка:

Сообщение от suhoi1993

$_SESSION['name']=$log;

@suhoi1993 · 06.01.2016, 09:16 **[ТС]**

evgenkur, Зачем вы пишете здесь, тут люди помощи ждут, не вам меня учить что есть что!

@evgenkur · 07.01.2016, 11:43

Сообщение от Jewbacabra

А почему 3 раза md5, а не 10?

а потомучто от этого якобы секюрность повышается

Сообщение от suhoi1993

evgenkur, Зачем вы пишете здесь, тут люди помощи ждут, не вам меня учить что есть что!

Это точно. Было бы кому учить, темы бы не было на форуме

@suhoi1993 · 07.01.2016, 11:46 **[ТС]**

evgenkur,Просто если помочь не можете, зачем писать?

@evgenkur · 07.01.2016, 11:48

Сообщение от suhoi1993

evgenkur,Просто если помочь не можете, зачем писать?

если вы считаете что устранить неграмотность это не помощь то зачем отвечать?

@suhoi1993 · 07.01.2016, 11:53 **[ТС]**

evgenkur, да ладно не оправдывайтесь, причём это авторизация

Добавлено через 3 минуты
evgenkur, и вообще зачем эта дискусия, зачем вы отвечаете?

@evgenkur · 07.01.2016, 11:55

Сообщение от suhoi1993

evgenkur, и вообще эта дискусия, зачем вы отвечаете?

отвечаю если считаю это нужным

Новые блоги и статьи Все статьи Все блоги /
Thinkpad X220 Tablet — это лучший бюджетный ноутбук для учёбы, точка. Programma_Boinc 23.12.2025 Рецензия / Мнение/ Перевод Ниже машинный перевод статьи The Thinkpad X220 Tablet is the best budget school laptop period . Thinkpad X220 Tablet — это лучший бюджетный ноутбук для учёбы,. . .	PhpStorm 2025.3: WSL Terminal всегда стартует в ~ and_y87 14.12.2025 PhpStorm 2025. 3: WSL Terminal всегда стартует в ~ (home), игнорируя директорию проекта Симптом: После обновления до PhpStorm 2025. 3 встроенный терминал WSL открывается в домашней директории. . .	Как объединить две одинаковые БД Access с разными данными VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.	Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .
От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .	Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .	Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .	Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .

@Jodah 3899 / 3237 / 1353 Регистрация: 01.08.2012 Сообщений: 10,904
	04.01.2016, 17:56
	Для начала нормально. Только в сессию лучше добавлять id пользователя, а не логин. 1

@UchihaSV 285 / 234 / 113 Регистрация: 08.06.2013 Сообщений: 725
	04.01.2016, 17:58
	Ну тут есть уязвимость к SQL-инъекциям. mysql_query не рекомендуется использовать для работы с базой, его могут убрать в след версиях PHP. А рекомендуют, mysqli или PDO. 1

@suhoi1993 11 / 11 / 3 Регистрация: 23.01.2014 Сообщений: 295
	04.01.2016, 18:08 [ТС]
	UchihaSV, какая уязвимость как устранить? 0

@UchihaSV 285 / 234 / 113 Регистрация: 08.06.2013 Сообщений: 725
	04.01.2016, 19:03
	suhoi1993, посмотрите в интернете, там все подробно объясняется. 0

@evgenkur 36 / 36 / 18 Регистрация: 01.01.2015 Сообщений: 287
	05.01.2016, 03:41
	это не авторизация (на википедии пробить нужно что означает это слово) 0

@suhoi1993 11 / 11 / 3 Регистрация: 23.01.2014 Сообщений: 295
	05.01.2016, 08:20 [ТС]
	evgenkur, умник как раз это и есть авторизация Авториза́ция (англ. authorization — разрешение, уполномочивание) — предоставление определённому лицу или группе лиц прав на выполнение определённых действий; а также процесс проверки (подтверждения) данных прав при попытке выполнения этих действий.[1][2][3] Часто можно услышать выражение, что какой-то человек «авторизован» для выполнения данной операции — это значит, что он имеет на неё право. 0

@JimUSA Web Programmer 325 / 286 / 121 Регистрация: 28.09.2011 Сообщений: 1,570
	05.01.2016, 18:13
	Хотя тоже не совсем понял какая разница. Википедия Авториза́ция (англ. authorization — разрешение, уполномочивание) — предоставление определённому лицу или группе лиц прав на выполнение определённых действий; а также процесс проверки (подтверждения) данных прав при попытке выполнения этих действий.[1][2][3] Часто можно услышать выражение, что какой-то человек «авторизован» для выполнения данной операции — это значит, что он имеет на неё право. Авторизацию не следует путать с аутентификацией: аутентификация — это процедура проверки легальности пользователя или данных, например, проверки соответствия введённого пользователем пароля к учётной записи паролю в базе данных, или проверка цифровой подписи письма по ключу шифрования, или проверка контрольной суммы файла на соответствие заявленной автором этого файла. Авторизация же производит контроль доступа легальных пользователей к ресурсам системы после успешного прохождения ими аутентификации. Зачастую процедуры аутентификации и авторизации совмещаются. Миниатюры 0

@evgenkur 36 / 36 / 18 Регистрация: 01.01.2015 Сообщений: 287
	06.01.2016, 00:08
	у меня для вас печальные новости, если вы не можете понять что написано в википедии. Добавлено через 2 минуты suhoi1993, я не сомневался в вашей не компетентности, можно было не отвечать 0

@suhoi1993 11 / 11 / 3 Регистрация: 23.01.2014 Сообщений: 295
	06.01.2016, 09:16 [ТС]
	evgenkur, Зачем вы пишете здесь, тут люди помощи ждут, не вам меня учить что есть что! 0

@suhoi1993 11 / 11 / 3 Регистрация: 23.01.2014 Сообщений: 295
	07.01.2016, 11:46 [ТС]
	evgenkur,Просто если помочь не можете, зачем писать? 0

@suhoi1993 11 / 11 / 3 Регистрация: 23.01.2014 Сообщений: 295
	07.01.2016, 11:53 [ТС]
	evgenkur, да ладно не оправдывайтесь, причём это авторизация Добавлено через 3 минуты evgenkur, и вообще зачем эта дискусия, зачем вы отвечаете? 0