Возможен ли взлом?

@Trances · Регистрация: 03.02.2014

Есть авторизация в административной панели:

PHP

public function AdminLogin($Login, $Pass){
        if( $Login == 'admin' AND $Pass == 'pass6378267' ){
            $_SESSION['Administrator'] = 1;
            Header("Location: /admin");
        }
    }

Могут ли её взломать?

@Para bellum · 29.08.2016, 12:06

Именно этот кусок безопасен. За окружение не говорю.

@Azdeman · 29.08.2016, 12:07

Сообщение от Trances

Могут ли её взломать?

Конечно.
Теоретически взломать можно всё.

@Jewbacabra · 29.08.2016, 12:08

Теоретически да. Лучше admin сменить на что-то менее распространенное, что уменьшит вероятность подбора пароля на порядок.

@Trances · 29.08.2016, 12:09 **[ТС]**

Нужно ли как-то защищать $Login и $Pass? С помощью htmlspecialchars, например?

@Para bellum · 29.08.2016, 12:10

Сообщение от Trances

Нужно ли как-то защищать $Login и $Pass? С помощью htmlspecialchars, например?

Вам не про это говорят, а про слишком простой логин и пароль. А код безопасен.

@Trances · 29.08.2016, 12:11 **[ТС]**

Para bellum, спасибо.

@Azdeman · 29.08.2016, 12:13

Сообщение от Trances

Нужно ли как-то защищать $Login и $Pass? С помощью htmlspecialchars, например?

Ну экранировать не стоит, зачем .
Если я введу <html> То проверка же всё равно не сработает, ибо <html> не равно admin.

Для безопасности у вас слишком простой логин..
Вот если бы написали логин напрмиер SQfWR7630293YUTOqWQACV то сложнее будет его подобрать.
Так же само лучше действовать и с полями формы.. Не называть их name,password и т.д. Ибо это легче взломать.

@Jewbacabra · 29.08.2016, 12:15

Сообщение от Trances

С помощью htmlspecialchars, например?

Нет, но лучше использовать строгое сравнение ===
Если есть возможность вместо $Login $Pass передать значение с типом число, а конкретнее 0, то нестрогое сравнение со строкой будет true

PHP

$Login = 0;
$Pass = 0;
var_dump($Login == 'admin' && $Pass == 'pass6378267'); // true
var_dump($Login === 'admin' && $Pass === 'pass6378267'); // false

@SergioO · 29.08.2016, 14:12

Сообщение от Azdeman

Теоретически взломать можно всё

вот, вот...

Сообщение от Trances

Нужно ли как-то защищать $Login и $Pass? С помощью htmlspecialchars, например?

да что вам эта htmlspecialchars() далась то

PHP

1	if( $Login == 'admin' AND $Pass == 'pass6378267' )

храните в базе хэши (blowfish алгоритм), а не сами данные как есть

PHP

if (
password_verify ( password_hash($login, PASSWORD_BCRYPT), $login_hash ) 
&& 
password_verify ( password_hash($pass, PASSWORD_BCRYPT), $pass_hash )
)

обычно, конечно, только пароли хэшируют, но я и логины тоже не храню открыто
я использую аутентификацию Apache mod_auth_db
пароли, логины (точнее их хэши хранятся в БД, собственно так же, как и данные сессий Postgres использую для аутентификации пользователей и хранения данных сессий, а MySQL для данных)
если пользователь залогинился, то вы получаете $_SERVER['REMOTE_USER'], те аутентифицированный пользователь (если ничего не путаю, тк настроил и не заглядываю уже)

@Para bellum 5750 / 4131 / 1506 Регистрация: 06.01.2011 Сообщений: 11,279
	29.08.2016, 12:06	2
	Именно этот кусок безопасен. За окружение не говорю. 1

@Azdeman Фрилансер 1846 / 1342 / 599 Регистрация: 12.01.2011 Сообщений: 5,429
	29.08.2016, 12:07	3
	Сообщение от Trances Могут ли её взломать? Конечно. Теоретически взломать можно всё. 1

@Jewbacabra 4841 / 3853 / 1599 Регистрация: 24.04.2014 Сообщений: 11,306
	29.08.2016, 12:08	4
	Теоретически да. Лучше admin сменить на что-то менее распространенное, что уменьшит вероятность подбора пароля на порядок. 1

@Trances 1 / 1 / 1 Регистрация: 03.02.2014 Сообщений: 281
	29.08.2016, 12:09 [ТС]	5
	Нужно ли как-то защищать $Login и $Pass? С помощью htmlspecialchars, например? 0

@Para bellum 5750 / 4131 / 1506 Регистрация: 06.01.2011 Сообщений: 11,279
	29.08.2016, 12:10	6
	Сообщение от Trances Нужно ли как-то защищать $Login и $Pass? С помощью htmlspecialchars, например? Вам не про это говорят, а про слишком простой логин и пароль. А код безопасен. 1

@Trances 1 / 1 / 1 Регистрация: 03.02.2014 Сообщений: 281
	29.08.2016, 12:11 [ТС]	7
	Para bellum, спасибо. 0

@Azdeman Фрилансер 1846 / 1342 / 599 Регистрация: 12.01.2011 Сообщений: 5,429
	29.08.2016, 12:13	8
	Сообщение от Trances Нужно ли как-то защищать $Login и $Pass? С помощью htmlspecialchars, например? Ну экранировать не стоит, зачем . Если я введу <html> То проверка же всё равно не сработает, ибо <html> не равно admin. Для безопасности у вас слишком простой логин.. Вот если бы написали логин напрмиер `SQfWR7630293YUTOqWQACV` то сложнее будет его подобрать. Так же само лучше действовать и с полями формы.. Не называть их name,password и т.д. Ибо это легче взломать. 1

Опции темы