ALP - Aquileia Linux Project

Gruppo Utenti GNU/Linux – Free Software Bassa Friulana
Oggi è 26/05/2019, 2:56

Tutti gli orari sono UTC




Apri un nuovo argomento Rispondi all’argomento  [ 9 messaggi ] 
Autore Messaggio
 Oggetto del messaggio: creare una mappa di login
MessaggioInviato: 19/07/2006, 13:50 
Non connesso
pinguino_imperatore
pinguino_imperatore

Iscritto il: 10/07/2006, 9:57
Messaggi: 114
qualcuno ha uno script per una mappa di login

grasie


Top
 Profilo  
 
 Oggetto del messaggio:
MessaggioInviato: 19/07/2006, 14:13 
Non connesso
slacker
slacker
Avatar utente

Iscritto il: 07/10/2004, 12:41
Messaggi: 1296
Località: Terra - Italia - Friûl - Udine
ne trovi a milioni .. google.com docet ... e cmq mappe di login via as400 non ne trovi, dovrai sempre riadattare il cod, ti conviene prendere spunto , creare e magari postare qui se vuoi qyualche consiglio :)


scappo

:ciauz:

_________________
Devo Proprio? pare di si :)


Top
 Profilo  
 
 Oggetto del messaggio: ...a voi...
MessaggioInviato: 26/07/2006, 9:43 
Non connesso
pinguino_imperatore
pinguino_imperatore

Iscritto il: 10/07/2006, 9:57
Messaggi: 114
<html>
<title>Login.php</title>
<head>


</head>


<body>
see SACCO/SQL for login

<form method="POST">
<table border="0" cellpadding="2" cellspacing="0">
<tr> <td align="right" nowrap><font face="arial" size="-1">ID Master!:</font></td>
<td><input name="login" size="17" value=""></td>
</tr>
<tr> <td align="right" nowrap><font face="arial" size="-1">Password:</font></td>
<td><input name="passwd" type="password" size="17" maxlength="32"></td>
</tr>
<tr> <td>&nbsp;</td>
<td><input name=".save" type="submit" value="Entra"></td>
</tr>
</table>
</form>

</body>
</html>




<?php

$login=$_POST['login'];
$passwd=$_POST['passwd'];

if ($login<>'' and $passwd<>'') {

#echo "$login";
#echo "$passwd";



#//---------------------------
$ASdbname="xxx";
$ASdbuser="xxx";
$ASdbpwd="xxx";
#//---------------------------

#////Connessione ed esecuzione SQL
#//-------------------------------------------------------------------------------------------
$ASdb=db2_connect($ASdbname,$ASdbuser,$ASdbpwd) or die ("error");
$sql="SELECT * FROM xxx.xxx where FIRST='$login' and LAST='$passwd'";
$result=db2_exec($ASdb, $sql);

while($rows = db2_fetch_both($result)){
$f_name = "$rows[FIRST]";
$l_name = "$rows[LAST]" ;
}

#
#Se SQL ha trovato --> $f_name, $l_name sono diversi da *blanks e contengono proprio $login e $passwd
#


# //prepare message for printing, and user menu
if ($f_name==$login and $l_name==$passwd){
#$msg .= "<P>$login is authorized!</p>";
#$msg .= "<P>Authorized Users' Menu:";
#$msg .= "<ul><li><a href=http://x.x.x.x/Developed_by_my.html>Developed by my</a></ul>";
header("Location: http://x.x.x.x/Developed_by_my.html");


} else {
$msg .= "<P>$login not authorized!</p>";

}



}

print "$msg";

?>


Top
 Profilo  
 
 Oggetto del messaggio:
MessaggioInviato: 27/07/2006, 8:20 
Non connesso
slacker
slacker
Avatar utente

Iscritto il: 07/10/2004, 12:41
Messaggi: 1296
Località: Terra - Italia - Friûl - Udine
si è in teressante, ma molto spicciolo e dal punto di vista sicurezza un suicidio :P

cmq hai trovato la linea guida.

header : ti farà diventare pazzo, dato che il motore inizierà a sclerare dicendoti che gli headers sono gia stati passati nel momento del post, ti consiglio un file_get_contents

e di usare le funzioni di pulizia, stripslashes e magari usare use un intval per ulteriori "hardening" del sys,

stai facendo dei bei passi lunghi in php , bravo ;)
:mrgreen:

_________________
Devo Proprio? pare di si :)


Top
 Profilo  
 
 Oggetto del messaggio: sicurezza
MessaggioInviato: 27/07/2006, 14:09 
Non connesso
pinguino_imperatore
pinguino_imperatore

Iscritto il: 10/07/2006, 9:57
Messaggi: 114
qualche consiglio per renderlo + sicuro?


Top
 Profilo  
 
 Oggetto del messaggio:
MessaggioInviato: 27/07/2006, 17:37 
Non connesso
slacker
slacker
Avatar utente

Iscritto il: 07/10/2004, 12:41
Messaggi: 1296
Località: Terra - Italia - Friûl - Udine
Alur, l'hardening di uno script di login avviene principalmente facendo pulizia, come ti ho detto nel post precedente , da simboli intepretabili dal motore SQL come ad esempio " \ " " ' " , per questo ti ho suggerito la funzione strip_slashes che trovi documentata in php.net

_________________
Devo Proprio? pare di si :)


Top
 Profilo  
 
 Oggetto del messaggio:
MessaggioInviato: 02/08/2006, 14:24 
Non connesso
new_entry
new_entry
Avatar utente

Iscritto il: 26/05/2006, 9:06
Messaggi: 10
Località: Mugello
http://it.php.net/manual/it/function.stripslashes.php

il top della sicurezza poi è gestire i dati criptati, vale a dire che potresti con uno script javascript fare l'md5 (criptatura) con l'evento onclick del tasto submit del form di accesso per criptare i dati prima dell'invio, e nello script php semplicemente decodificarli.

ma sicuramente ci avevi già pensato ;)

ciauz :ciauz:

_________________
^__^

http://www.superlanello.net


Top
 Profilo  
 
 Oggetto del messaggio:
MessaggioInviato: 02/08/2006, 14:30 
Non connesso
slacker
slacker
Avatar utente

Iscritto il: 07/10/2004, 12:41
Messaggi: 1296
Località: Terra - Italia - Friûl - Udine
lanello , ti tiro le orecchie, la crittazione md5 è oneway

cioè, l'md5 lo usi per il login via dato crittato, quindi

user in chiaro -> cript md5 -> confronto md5 presente in archivio con cript del post

:mrgreen:

_________________
Devo Proprio? pare di si :)


Top
 Profilo  
 
 Oggetto del messaggio:
MessaggioInviato: 08/08/2006, 13:21 
Non connesso
pinguino_imperatore
pinguino_imperatore
Avatar utente

Iscritto il: 26/09/2004, 17:16
Messaggi: 124
Località: Udine e non solo.
Ma non solo, basta disabilitare il javascript e qualsiasi sistema di criptazione va a farsi benedire, e nemmeno puoi impedire ad un disabile che non usa javascript di fare il log in.

Vorrei dire anche altre cose riguardo a stripslash, quella funzione va bene per alcune "cose", ma per un sistema di login sicuro devi pensare in modo differente.

Prima cosa evitare di passare informazioni dirette, per esempio:
<input type='text' name='nome' ....

quindi $nome = $_POST['nome'] se fai così, chiunque nella rete con uno sniffer sa che nome corrisponde a nome e password corrisponde a ... password.
Meglio è
<input type='text' name='primo' ...
In modo che chiunque stia controllando il traffico non possa associare subito la "sniffata" a ciò che cerca, sembra stupido manon è così, basti pensare a quanti dati spuri ci sono nei log dello sniffer, se tu gli dai la pappa pronta, e be ma allora lo fai a posta.

Poi, per un controllo "vero" su ciò che viene inserito nella textbox, oltre al già citato stripslashes che serve solo a togliere gli slash aggiunti prima di un carattere di escape, consiglierei a cascata:

$nome = trim(htmlentities(htmlspecialchars(stripslashes($_POST['primo']))));

in questo modo:
trim toglie tutti i caratteri di blank prima e dopo la stringa inserita.
htmlentities converte tutti i caratteri "strani" in entità html, quindi una injection sel tipo eval(qualcosa) viene già bloccata.
htmlspecialchars fa le stesse cose di cui sopra, ma con altri caratteri che possono esserei inseriti via injection
stripslashes che va passata per prima toglie appunto gli \

ma il controllo vero lo ottieni solo stabilendo delle regole e controllandole tramite regex.
Per esempio puoi imporre che l'eventuale utente inserisca solo caratteri e numeri e nient'altro, così che autmaticamente elimini caratteri di interpunzione, come . , ( < e tutti quei caratteri che in uno script possono dare il via a inserimento di codice attivo.

Questo ovviamente va ripetuto anche per la password.

Degli headers invece non mi preoccuperei affatto, dato che se le cose sono fatte bene, nn danno problemi, a proposito di headers, non usare pagine codificate in utf-8 con PHP perché ancoran on le supporta ed è una grossa pecca.
Usa un database e non un file sul filesystem, perché il database è più sicuro e può codificarti già le password, ma più in generale tutti i campi che vuoi, crittografandoli, togliendoti un ulteriore lavoro.

Ah, dimenticavo :D buon lavoro.

_________________
Il mio lavoro: StilisticaMente
I miei giochini: Giochi online
http://counter.li.org/cgi-bin/certificate.cgi/361528


Top
 Profilo  
 
Visualizza ultimi messaggi:  Ordina per  
Apri un nuovo argomento Rispondi all’argomento  [ 9 messaggi ] 

Tutti gli orari sono UTC


Chi c’è in linea

Visitano il forum: Nessuno e 2 ospiti


Non puoi aprire nuovi argomenti
Non puoi rispondere negli argomenti
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi inviare allegati

Cerca per:
Vai a:  
cron
Powered by phpBB® Forum Software © phpBB Group
Traduzione Italiana phpBBItalia.net basata su phpBB.it 2010
[ Time : 0.063s | 11 Queries | GZIP : Off ]