Nawigacja

Aktualnie online

Gości online: 18

Użytkowników online: 0

Łącznie użytkowników: 25,405
Najnowszy użytkownik: kipolas

Logowanie

Zarejestruj się

Odzyskaj hasło

Shoutbox

Musisz zalogować się, aby móc dodać wiadomość.

jantom

07.09.2025 09:40:31

Strona z niebytu wrocila, ciekawe kiedy polskie literki rowniez...

JazOOn

25.06.2025 23:43:19

Dziadziejemy jantom...

jantom

23.06.2025 21:37:31

Z ciekawo?ci pogrzeba?em w historii i jest gorzej ni? my?la?em. Skórka Nadzieja ma ju? 17 lat.

jantom

23.06.2025 21:33:12

... troch? zasiedzia?o

jantom

23.06.2025 21:32:38

Cecha tego, jak z 20+ lat temu pisano strony - tabelki wsz?dzie, szczególnie do tworzenia uk?adów stron. PF d?ugo by? wierny tej tradycji. A obecny szablon Supportu napisa?em z 15 lat temu i chyba mu

Archiwum shoutboksa

O nie! Ta strona potrzebuje włączonej obsługi języka JavaScript!

Twoja przeglądarka nie obsługuje tego języka lub ma wyłączoną jego obsługę. Włącz wykonywanie kodu JavaScript w swojej przeglądarce internetowej, aby skorzystać ze wszystkich funkcji strony
lub skorzystaj z programu obsługującego język JavaScript, np. Mozilla Firefox, Apple Safari, Opera, Google Chrome lub Windows Internet Explorer w wersji wyższej niż 6.

Zobacz temat

Polski Oficjalny Support PHP-Fusion » PHP-Fusion v5.00-v6.01 Support » Modyfikacje skryptów

[NOWE]Dodatkowe zabezpieczenie do logowania by slawekneo
slawekneo	#1 Dodany dnia 29.11.2007 21:51:01
Bywalec Postów: 915 Pomógł: 41 Data rejestracji: 12.03.2006 07:28	Witajcie !! AKTUALIZACJA Zabezpieczenie do 6.01.13. Postanowilem opublikowac dodatkowe zabezpieczenie do logowania bo jak wiadmomo nawet przy zabezpieczeniu poprzez podwujne md5 majac wyciagniete(w jakis sposob z twoich cookie) haslo haszowane pojedynczym md5 mozna bez problemu wlamac sie na strone. Opis rozwiazania : w pierwszej czesci logowania jeszcze przed dodaniem do cookie id i hasla dodalem zapytanie aktualizujace w bazie danych pole user_ip, aktualnym ip uzytkownika logujacego, nastepnie w ostatniej czesci logowania dodalem do zapytania warunek sprawdzajacy czy osoba posiadajaca dane w cookie(niezbedne do bycia zalogowanym) ma takie samo ip co osoba logujaca czyli nie ma mozliwosci zalogowac sie poprzez spreparowane cookie. Zamieszalem troche ale Ci co sie znaja lub wiedza na jakie zasadzie dziala logowanie w fusionie beda wiedziec o co chodzi. Na sam poczatek trzeba wykonac dwa zapytania do bazy wchodzimy do Panelu admina > zarzadzanie strona > zarzadzanie panelami > dodaj nowy > w polu tresc wklej ten kod Rozwiń Kod źródłowy `//dodaje pole user_new_pass bedzie sluzyc do sprawdzania czy w bazie jest juz zapisane nowe haslo z podwujnym md5 $result = dbquery("ALTER TABLE ".$db_prefix."users ADD user_new_pass SMALLINT(1) UNSIGNED NOT NULL DEFAULT '0'");` i wcisnij podglad Teraz trzeba edytowac plik maincore.php a dokladniej ta czesc Rozwiń Kod źródłowy if (isset($_POST['login'])) { $user_pass = md5($_POST['user_pass']); $user_name = preg_replace(array("/\=/","/\#/","/\sOR\s/"), "", stripinput($_POST['user_name'])); $result = dbquery("SELECT * FROM ".$db_prefix."users WHERE user_name='$user_name' AND (user_password='".md5($user_pass)."' OR user_password='$user_pass')"); if (dbrows($result) != 0) { $data = dbarray($result); if ($data['user_password'] == $user_pass) { $result = dbquery("UPDATE ".$db_prefix."users SET user_password='".md5($user_pass)."' WHERE user_id='".$data['user_id']."'"); } $cookie_value = $data['user_id'].".".$user_pass; if ($data['user_status'] == 0) { $cookie_exp = isset($_POST['remember_me']) ? time() + 36002430 : time() + 36003; header("P3P: CP='NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM'"); setcookie("fusion_user", $cookie_value, $cookie_exp, "/", "", "0"); redirect(BASEDIR."setuser.php?user=".$data['user_name'], "script"); } elseif ($data['user_status'] == 1) { redirect(BASEDIR."setuser.php?error=1", "script"); } elseif ($data['user_status'] == 2) { redirect(BASEDIR."setuser.php?error=2", "script"); } } else { redirect(BASEDIR."setuser.php?error=3"); } } if (isset($_COOKIE['fusion_user'])) { $cookie_vars = explode(".", $_COOKIE['fusion_user']); $cookie_1 = isNum($cookie_vars['0']) ? $cookie_vars['0'] : "0"; $cookie_2 = (preg_match("/^[0-9a-z]{32}$/", $cookie_vars['1']) ? $cookie_vars['1'] : ""); $result = dbquery("SELECT FROM ".$db_prefix."users WHERE user_id='$cookie_1' AND user_password='".md5($cookie_2)."'"); unset($cookie_vars,$cookie_1,$cookie_2); if (dbrows($result) != 0) { $userdata = dbarray($result); if ($userdata['user_status'] == 0) { if ($userdata['user_theme'] != "Default" && file_exists(THEMES.$userdata['user_theme']."/theme.php")) { define("THEME", THEMES.$userdata['user_theme']."/"); } else { define("THEME", THEMES.$settings['theme']."/"); } if ($userdata['user_offset'] <> 0) { $settings['timeoffset'] = $settings['timeoffset'] + $userdata['user_offset']; } if (empty($_COOKIE['fusion_lastvisit'])) { setcookie("fusion_lastvisit", $userdata['user_lastvisit'], time() + 3600, "/", "", "0"); $lastvisited = $userdata['user_lastvisit']; } else { $lastvisited = $_COOKIE['fusion_lastvisit']; } } else { header("P3P: CP='NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM'"); setcookie("fusion_user", "", time() - 7200, "/", "", "0"); setcookie("fusion_lastvisit", "", time() - 7200, "/", "", "0"); redirect(BASEDIR."index.php", "script"); } } else { header("P3P: CP='NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM'"); setcookie("fusion_user", "", time() - 7200, "/", "", "0"); setcookie("fusion_lastvisit", "", time() - 7200, "/", "", "0"); redirect(BASEDIR."index.php", "script"); } } else { define("THEME", THEMES.$settings['theme']."/"); $userdata = ""; $userdata['user_level'] = 0; $userdata['user_rights'] = ""; $userdata['user_groups'] = ""; } trzeba zamienic na (pogrubieniem zaznaczam zmiany) Rozwiń Kod źródłowy if (isset($_POST['login']) ) { $user_pass = md5($_POST['user_pass']); [b]//add by slawekneo $user_pass2 = md5($user_pass);[/b] $user_name = preg_replace(array("/\=/","/\#/","/\sOR\s/"), "", stripinput($_POST['user_name'])); $result = dbquery("SELECT * FROM ".$db_prefix."users WHERE user_name='$user_name' AND (user_password='".md5($user_pass)."' OR user_password='$user_pass')"); if (dbrows($result) != 0) { $data = dbarray($result); [b]//edit by slawekneo if ($data['user_password'] == $user_pass && $data['user_new_pass'] == 0) { $result = dbquery("UPDATE ".$db_prefix."users SET user_password='".md5($user_pass)."', user_new_pass=1 WHERE user_id='".$data['user_id']."'"); } else if ($data['user_password'] == $user_pass && $data['user_new_pass'] == 1) { redirect(BASEDIR."setuser.php?error=3", "script"); } else if ($data['user_password'] == $user_pass2 && $data['user_new_pass'] == 0) { $result = dbquery("UPDATE ".$db_prefix."users SET user_new_pass=1 WHERE user_id='".$data['user_id']."'"); } //end edit //edit by slawekneo if ($data['user_status'] == 0 && $data['user_password'] == $user_pass2) { //add by slawekneo $result = dbquery("UPDATE ".$db_prefix."users SET user_ip='".USER_IP."' WHERE user_id='".$data['user_id']."'");[/b] $cookie_value = $data['user_id'].".".$user_pass; $cookie_exp = isset($_POST['remember_me']) ? time() + 36002430 : time() + 36003; header("P3P: CP='NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM'"); setcookie("fusion_user", $cookie_value, $cookie_exp, "/", "", "0"); redirect(BASEDIR."setuser.php?user=".$data['user_name'], "script"); } elseif ($data['user_status'] == 1) { redirect(BASEDIR."setuser.php?error=1", "script"); } elseif ($data['user_status'] == 2) { redirect(BASEDIR."setuser.php?error=2", "script"); } } else { redirect(BASEDIR."setuser.php?error=3"); } } if (isset($_COOKIE['fusion_user'])) { $cookie_vars = explode(".", $_COOKIE['fusion_user']); $cookie_1 = isNum($cookie_vars['0']) ? $cookie_vars['0'] : "0"; $cookie_2 = (preg_match("/^[0-9a-z]{32}$/", $cookie_vars['1']) ? $cookie_vars['1'] : ""); [b]//edit by slawekneo $result = dbquery("SELECT FROM ".$db_prefix."users WHERE user_id='$cookie_1' AND user_password='".md5($cookie_2)."' AND user_ip='".USER_IP."'");[/b] unset($cookie_vars,$cookie_1,$cookie_2); if (dbrows($result) != 0) { $userdata = dbarray($result); if ($userdata['user_status'] == 0) { if ($userdata['user_theme'] != "Default" && file_exists(THEMES.$userdata['user_theme']."/theme.php")) { define("THEME", THEMES.$userdata['user_theme']."/"); } else { define("THEME", THEMES.$settings['theme']."/"); } if ($userdata['user_offset'] <> 0) { $settings['timeoffset'] = $settings['timeoffset'] + $userdata['user_offset']; } if (empty($_COOKIE['fusion_lastvisit'])) { setcookie("fusion_lastvisit", $userdata['user_lastvisit'], time() + 3600, "/", "", "0"); $lastvisited = $userdata['user_lastvisit']; } else { $lastvisited = $_COOKIE['fusion_lastvisit']; } } else { header("P3P: CP='NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM'"); setcookie("fusion_user", "", time() - 7200, "/", "", "0"); setcookie("fusion_lastvisit", "", time() - 7200, "/", "", "0"); redirect(BASEDIR."index.php", "script"); } } else { header("P3P: CP='NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM'"); setcookie("fusion_user", "", time() - 7200, "/", "", "0"); setcookie("fusion_lastvisit", "", time() - 7200, "/", "", "0"); redirect(BASEDIR."index.php", "script"); } } else { define("THEME", THEMES.$settings['theme']."/"); $userdata = ""; $userdata['user_level'] = 0; $userdata['user_rights'] = ""; $userdata['user_groups'] = ""; } teraz wystarczy tylko zapisac plik i mamy dodatkowe zabezpieczenie. Pozdro!! Edytowane przez slawekneo dnia 30.11.2007 00:58:45


W?cibski Go??	Dodany dnia 10.09.2025 07:36:24
Pan Kontekstualny Postów: n^x Data rejestracji: Zawsze
IP: localhost

Grzes	#2 Dodany dnia 29.11.2007 22:01:14
Zaawansowany Postów: 1656 Pomógł: 42 Data rejestracji: 28.04.2005 20:28	Scenariusz... SADMIN loguje si? i w user_ip zapisywane jest jego IP. Nast?pnie ja mu zw?dzam cookie. Mam w tym przypadku jego md5 has?a. Podrzucam sobie to cookie i jak twierdzisz wyrzuca mnie (wylogowuje). Teraz zwró? uwage na t? lini? if (isset($_POST['login'])) { $user_pass = md5($_POST['user_pass']); $user_name = preg_replace(array("/\=/","/\#/","/\sOR\s/"), "", stripinput($_POST['user_name'])); $result = dbquery("SELECT * FROM ".$db_prefix."users WHERE user_name='$user_name' AND (user_password='".md5($user_pass)."' OR user_password='$user_pass')"); W bazie mamy co? podwójne md5. Je?li w formularzu podam nazw? SADMINA i w polu na has?o jak mu podam md5 has?a które ukrad?em zgadnij co si? stanie. Nie zaloguje mnie? W tym momencie ustawi w user_ip nowe moje IP. Edytowane przez Grzes dnia 29.11.2007 22:02:43 Cz?sto najm?drzejsz? odpowiedzi? jest milczenie


m_i_n	#3 Dodany dnia 29.11.2007 22:09:01
Bywalec Postów: 837 Pomógł: 3 Data rejestracji: 15.02.2006 10:04	Nie bardzo rozumiem jak mozesz twierdzic ze latwo zlamac podwojny md5... to chyba graniczy z cudem, aby go raz odchaszowac trzeba by robic brute-forca dla 32 znakowego ciagu... no litosci, to by trwalo lata. Awaria strony? - dowiedz si? o niej, nim ktokolwiek zauwa?y: uMonitor.eu


Grzes	#4 Dodany dnia 29.11.2007 22:25:00
Zaawansowany Postów: 1656 Pomógł: 42 Data rejestracji: 28.04.2005 20:28	m_i_n napisa?/a: Nie bardzo rozumiem jak mozesz twierdzic ze latwo zlamac podwojny md5... to chyba graniczy z cudem, aby go raz odchaszowac trzeba by robic brute-forca dla 32 znakowego ciagu... no litosci, to by trwalo lata. Lito?ci.... Czytaj ze zrozumieniem Ca?o?? rozbija si? o zwini?cie cookies. Pomys? s?awka jest na tyle nieskuteczny, ?e je?li zwin? cookie to w formularzu logowania mog? poda? nazw? usera i md5 has?a z ciastka i si? zaloguj?. Cz?sto najm?drzejsz? odpowiedzi? jest milczenie


slawekneo	#5 Dodany dnia 29.11.2007 23:00:48
Bywalec Postów: 915 Pomógł: 41 Data rejestracji: 12.03.2006 07:28	Ano prawda ale za chwilke wstawie poprawke tego zreszta po wpisaniu w forma haslo md5 skrypt automatycznie zmienia haslo w bazie danych o jedno md5 a co za tym idzie admin musial by wpisywac w form zakodowane pojedynczoprzez md5 swoje haslo a winowajca zmiany jest ta czesc zreszta oryginalnego kodu Rozwiń Kod źródłowy `if ($data['user_password'] == $user_pass) { $result = dbquery("UPDATE ".$db_prefix."users SET user_password='".md5($user_pass)."' WHERE user_id='".$data['user_id']."'"); }` EDIT kod poprawiony i zaktualizowany dodatkowo poprawiony blad z tym kode co podalem wyzej Edytowane przez slawekneo dnia 30.11.2007 00:18:50


m_i_n	#6 Dodany dnia 30.11.2007 07:45:23
Bywalec Postów: 837 Pomógł: 3 Data rejestracji: 15.02.2006 10:04	Czytaj ze zrozumieniem No wlasnie post byl tak chaotycznie napisany ze mialem z tym problem Awaria strony? - dowiedz si? o niej, nim ktokolwiek zauwa?y: uMonitor.eu

Przejdź do forum:

Twój link u nas!

Nawigacja

G?ówne menu

Komunikacja

Elementarz

Dokumentacja

Aktualnie online

Logowanie

Shoutbox

Zobacz temat