Zabezpieczenie skryptu logowania.

pytanie zadane 25 stycznia 2017 w PHP przez nielotweb Bywalec (2,240 p.)

Robię skrypt logowania, i mam szybkie pytanko. Otóż czy takie combo zabezpieczeń jakie napisałem jest w ogóle dobre? W sense czy wszystko poprawnie będzie 'zabezpieczać' ? Czy wystarczy jakbym samo bindowanie zostawił?

Z góry dziękuję!

if(!empty($_POST['nickname']) && !empty($_POST['password'])) {

  $nickname = htmlspecialchars(trim($_POST['nickname']));
  $nickname = mysql_real_escape_string(htmlentities($nickname, ENT_QUOTES, "UTF-8"));
  $password = htmlspecialchars(trim($_POST['password']));
  $password = mysql_real_escape_string(htmlentities($password, ENT_QUOTES, "UTF-8"));

  $sqlSTM = $pdo->prepare("SELECT * FROM users WHERE nickname = :nickname");
  $sqlSTM->bindParam(':nickname', $nickname, PDO::PARAM_STR);
  $sqlSTM->execute();
  $results = $sqlSTM->fetch(PDO::FETCH_ASSOC);

  if( count($results) > 0 ) {

     if( $results['nickname'] == $nickname && password_verify($password, $results['password']) ) {

      die('Zalogowales sie!');

    } else {

      die('Podales zle dane logowania!');

    }
  }
}

1 odpowiedź

odpowiedź 25 stycznia 2017 przez Arkadiusz Waluk Ekspert (287,950 p.)
wybrane 25 stycznia 2017 przez nielotweb

Najlepsza

Jeśli już wykorzystujesz bindowanie to nie potrzebujesz funkcji zabezpieczających typu mysql_real_escape_string. Samo w sobie bindowanie jest zabezpieczeniem bo zapytanie do bazy idzie osobno, a osobno podstawiane są wartości - nie ma więc możliwości wykonania ataku sql injection.

No i poza tym od PHP 7 funkcje zaczynające się od mysql_ już nie istnieją, więc tym bardziej nie powinieneś w ogóle ich używać.