• C
    User Attivo

    Login utente abbastanza sicuro

    Vorrei utilizzare uno script per l'autenticazione degli utenti su un sito. Ho creato un database con una tabella così composta:[INDENT]user_id, nome, cognome, e-mail, username, password
    [/INDENT]più altre tabelle che serviranno per altre funzionalità.

    Lo script preconfezionato da utilizzare sarebbe il seguente:[INDENT]<?php require_once('Connections/conn.php'); ?>
    <?php

    if (!isset($_SESSION)) {
    session_start();
    }

    $loginFormAction = $_SERVER['PHP_SELF'];
    if (isset($_GET['accesscheck'])) {
    $_SESSION['PrevUrl'] = $_GET['accesscheck'];
    }

    if (isset($_POST['utente'])) {
    $loginUsername=$_POST['utente'];
    $password=$_POST['password'];
    $MM_fldUserAuthorization = "";
    $MM_redirectLoginSuccess = "area_riservata.php";
    $MM_redirectLoginFailed = "errore.php";
    $MM_redirecttoReferrer = false;
    mysql_select_db($database_conn, $conn);

    $LoginRS__query=sprintf("SELECT username, password FROM tbl_clienti WHERE username='%s' AND password=MD5('$password')",
    get_magic_quotes_gpc() ? $loginUsername : addslashes($loginUsername), get_magic_quotes_gpc() ? $password : addslashes($password));

    $LoginRS = mysql_query($LoginRS__query, $conn) or die(mysql_error());
    $loginFoundUser = mysql_num_rows($LoginRS);
    if ($loginFoundUser) {
    $loginStrGroup = "";

    $_SESSION['MM_Username'] = $loginUsername;
$_SESSION['MM_UserGroup'] = $loginStrGroup;          

if (isset($_SESSION['PrevUrl']) && false) {
  $MM_redirectLoginSuccess = $_SESSION['PrevUrl'];    
}
header("Location: " . $MM_redirectLoginSuccess );

    }
    else {
    header("Location: ". $MM_redirectLoginFailed );
    }
    }
    ?>
    [/INDENT]Mi chiedo quale livello di sicurezza possa assicurare questo script. E' facilmente aggirabile? Nonmi serve niente di blindato perchè nell'area riservata non conterrà dati sensibili, ma neanche vorrei che il sito fosse un colabrodo.
    Vi ringrazio in anticipo :ciauz:

    0
  • C
    User Attivo

    Ciao ciucciarello,
    per quel che posso vedere, senza aver effettuato alcun test, lo script mi sembra abbastanza sicuro: password criptata, query su db e redirect lato server...

    Fossi in te mi rifarei lo scriptino di login a mano, in modo da controllare ogni possibile evento ed eliminarer eventuali fronzoli. Alternativamente cerca qualche info in più sullo script e sul suo autore per vedere se è segnalato qualche problema di sicurezza.

    Spero di esserti stato d'aiuto!
    :ciauz:

    0
  • C
    User Attivo

    @ceccus said:

    Spero di esserti stato d'aiuto!
    :ciauz:
    Sicuramente mi sei stato d'aiuto. Per ora utilizzerò questo e poi mi cimenterò nel creare io qualcosa di semplice e ben fatto 😉

    0
Effettua l'accesso per rispondere