PDA

View Full Version : آیا این لوگین پیج امنیت داره؟



ali2712022
جمعه 04 دی 1394, 14:30 عصر
session_start();

if(isset($_POST['submit'])){
$user=$_POST['user'];
$pass=$_POST['pass'];
if($user=="ali" and $pass=="123456"){
$_SESSION['user']="valid";
header("Location: index.php");
}else{
$_SESSION['user']="Not_valid";
print("Try again!! <br>");
}
}

?>

<html>
<head>
<title>Login</title>
</head>
<body>
<form method="post">
User:<input type="text" name="user" ><br>
Pass:<input type="password" name="pass" ><br>
<input type="submit" name="submit" value="login">
<input type="reset" name="reset" value="Clear">
</form>
</body>
</html>

با سلام خدمت دوستان-من تازه کارم به نظرتون این لوگین پیج امنیت داره؟ می خوام بدم دست مشتری ترسیدم یه موقع هک شه
نظرتون رو بگید
با تشکر

masiha68
دوشنبه 07 دی 1394, 08:49 صبح
این ساده ترین لاگینیه که دیدم و نا امنیترینش ... :)
وردی های چک نشدن ... تعداد کاراکتر چک نشده ... نه توکن داره و نه حتی یه کلیپچا ...فقط کافیه یوزر نیم رو بلد باشی تا واردش بشی

ahmad nazl
سه شنبه 06 بهمن 1394, 11:10 صبح
اینو میخوای بدی به مشتری؟؟؟؟؟؟؟خدا بهش رحم کنه:گریه:

Farshid007
دوشنبه 12 بهمن 1394, 22:42 عصر
session_start();

if(isset($_POST['submit'])){
$user=$_POST['user'];
$pass=$_POST['pass'];
if($user=="ali" and $pass=="123456"){
$_SESSION['user']="valid";
header("Location: index.php");
}else{
$_SESSION['user']="Not_valid";
print("Try again!! <br>");
}
}

?>

<html>
<head>
<title>Login</title>
</head>
<body>
<form method="post">
User:<input type="text" name="user" ><br>
Pass:<input type="password" name="pass" ><br>
<input type="submit" name="submit" value="login">
<input type="reset" name="reset" value="Clear">
</form>
</body>
</html>

با سلام خدمت دوستان-من تازه کارم به نظرتون این لوگین پیج امنیت داره؟ می خوام بدم دست مشتری ترسیدم یه موقع هک شه
نظرتون رو بگید
با تشکر

به نظر خودتون امنیت داره؟:/

joker
سه شنبه 13 بهمن 1394, 09:52 صبح
لاگین ساده ای هست ولی خود کد امن محسوب میشه.
البته اشکالاتی هم داره مثلا چون هیچ کنترل دیگه ای مثلا کپچا یا شمردن تعداد دفعات ورود اشتباه روش نیست اگه یوزر را کسی بدونه یا از یوزرهای پیش فرض مثلا کلمه admin استفاده شده باشه به روش بروتی فورس میتونن بعد از مدتی پسورد را هم پیدا کنند
چون ارتباطی با دیتابیس نداره اینجکشن روش اثری نداره و چک کردن تعداد طول کاراکتر و دیگر کنترلها روی ورودی عملا مهم نیست.
چون هیچکدوم از یوزر و پسورد مجددا نمایش داده نمیشه امکان حمله css نداره
و.....

kb0y667
شنبه 19 تیر 1395, 02:37 صبح
منظور داداشمون حمله xss بوده اشتباها تایپ شده css

Vidico
سه شنبه 02 شهریور 1395, 15:13 عصر
مقداری جای کار داره، ... (http://zeedka.com).

smksmk
پنج شنبه 30 دی 1395, 10:35 صبح
سلام ،
شما اول باید طول کاراکتر های نام کاربری و کلمه عبور را بدونی چقدر قراره باشه(بستگی با قوانین موقع ثبت نام داره) و بیشتر از مقدار تعیین شده یا کمترش را رد کنی.
مرحله دوم کاراکترهای غیرمجاز برای نام کاربری را با preg_match چک کنی که اگر وجود داشت رد کنی.
کپچا هم که ضروریه و ندارین .
در آخرین مرحله هم میتونید تعداد سعی به ورود را ذخیره کنید و آی پی را مسدود! (البته زیاد مهم نیست)
ضمناً بهتره از jQuery استفاده کنی و قبل از ارسال فرم همه اعتبار سنجی ها یکبار سمت کاربر هم انجام بشه که فرم توسط کاربران به اشتباه ارسال نشه. (مثلا فرم خالی نباشه ، یا طول کاراکتر چک بشه ، کاراکترهای غیرمجاز در نام کاربری هم همینطور)

کد شما چون از دیتابیس نمیخونه شاید فقط برای ورود یک نفر ادمین باشه ! موارد بالا به جز کپچا مربوط به دیتابیس هستش.