Loading ...
Sorry, an error occurred while loading the content.

Apakah sudah aman dengan menggunakan scripting seperti ini untuk login user...???

Expand Messages
  • Toekang Web
    Maaf para Master, saya ada beberapa pertanyaan mendasar yang perlu di jelaskan...:) Saya pakai login user script di bawah ini (diambil dari hotscripts.com) :
    Message 1 of 3 , Mar 4, 2005
    • 0 Attachment
      Maaf para Master, saya ada beberapa pertanyaan mendasar yang perlu di
      jelaskan...:)


      Saya pakai login user script di bawah ini (diambil dari hotscripts.com) :

      LOGIN FORM :
      form_login.php
      <form action=login.php" name="login_form" method="POST">
      Email Address/user id :<input type="text" name="username" >
      Password : <input type="password" name="password" >
      <input type="submit" name="userlogin" value="Login">
      </form>

      login.php
      <?
      session_start();
      $_SESSION['logged_in'] = 'False';
      $loginfail = '';
      require("db_connect.php");
      if($_POST)
      {
      $sql = "select * from register where user_id='$_POST[username]'
      and password='$_POST[password]' and active = 1 ";
      $MyRst = mysql_query($sql, $GLOBALS[MyDB]);
      if ($MyRow = mysql_fetch_row($MyRst)) {
      $level = $MyRow[0];
      header("Location: data.php");
      $user_array = mysql_fetch_array($MyRst);
      $_SESSION['logged_in'] = 'True';
      $_SESSION["user_id"] = $user_array[user_id];
      $_SESSION["session_id"] = $user_array[session_id];
      $_SESSION["id"] = $user_array[id];
      } else {
      $_SESSION['logged_in'] = 'False';
      }
      }
      ?>

      PERTANYAANNYA :
      1. Apakah script tersebut sudah aman/paling tidak susah untuk di hack..?
      kalo blom aman apa yang perlu diperbaiki? klo ada contohnya juga boleh...!!
      2. Gimana caranya supaya data yang di tampilkan apabila kita ngeklik
      menu yang lain
      yang tampil tetap data masing2 dari yang sudah login.
      apakah harus pake link : data.php?user_id<?=$user_id?>
      atau bisa cara yang lain yang lebih aman...(yang nggak kelihatan di
      URLnya ..GITU LHOO....)?
      Terima kasih.......
    • ferdhie
      ... // lebih aman dari sql injection klo gini // username ga ada spasi khan? $uname = isset($_POST[ username ]) ? .. validasi username : ; $pass =
      Message 2 of 3 , Mar 4, 2005
      • 0 Attachment
        > login.php
        > $loginfail = ''; // ini buat apa???
        > if($_POST) // kalau isset($_POST['user_name'])

        // lebih aman dari sql injection klo gini
        // username ga ada spasi khan?
        $uname = isset($_POST['username']) ? .. validasi username : '';
        $pass = isset($_POST['password']) ? ... validasi password : '';

        // baru cek disini
        if ($uname != '' && $pass != '') {
        .... lakukan pencarian di sql
        }

        > yang tampil tetap data masing2 dari yang sudah login.
        > apakah harus pake link : data.php?user_id<?=$user_id?>
        > atau bisa cara yang lain yang lebih aman...(yang nggak kelihatan di
        > URLnya ..GITU LHOO....)?

        $_SESSION['user_id'] = $user_id;

        ... ntar di halaman lain tinggal ..
        $user_id = $_SESSION['user_od']

        peace :q!


        _________________
        Herdian Ferdianto

        __________________________________________________
        Do You Yahoo!?
        Tired of spam? Yahoo! Mail has the best spam protection around
        http://mail.yahoo.com
      • Youppie Arliansyah
        ... rasanya sih ga terlalu aman, passwordnya lewat di internet dalam bentuk plaintext. kalau ada yang ngintip di salah satu komputer antara user ama server ya
        Message 3 of 3 , Mar 5, 2005
        • 0 Attachment
          On Sat, 5 Mar 2005 13:48:39 +0700, Toekang Web <milisphp@...> wrote:
          >
          > Maaf para Master, saya ada beberapa pertanyaan mendasar yang perlu di
          > jelaskan...:)
          >
          >
          > Saya pakai login user script di bawah ini (diambil dari hotscripts.com) :
          >
          > LOGIN FORM :
          > form_login.php
          > <form action=login.php" name="login_form" method="POST">
          > Email Address/user id :<input type="text" name="username" >
          > Password : <input type="password" name="password" >
          > <input type="submit" name="userlogin" value="Login">
          > </form>
          >
          > login.php
          > <?
          > session_start();
          > $_SESSION['logged_in'] = 'False';
          > $loginfail = '';
          > require("db_connect.php");
          > if($_POST)
          > {
          > $sql = "select * from register where user_id='$_POST[username]'
          > and password='$_POST[password]' and active = 1 ";
          > $MyRst = mysql_query($sql, $GLOBALS[MyDB]);
          > if ($MyRow = mysql_fetch_row($MyRst)) {
          > $level = $MyRow[0];
          > header("Location: data.php");
          > $user_array = mysql_fetch_array($MyRst);
          > $_SESSION['logged_in'] = 'True';
          > $_SESSION["user_id"] = $user_array[user_id];
          > $_SESSION["session_id"] = $user_array[session_id];
          > $_SESSION["id"] = $user_array[id];
          > } else {
          > $_SESSION['logged_in'] = 'False';
          > }
          > }
          > ?>
          >
          > PERTANYAANNYA :
          > 1. Apakah script tersebut sudah aman/paling tidak susah untuk di hack..?
          > kalo blom aman apa yang perlu diperbaiki? klo ada contohnya juga
          > boleh...!!
          rasanya sih ga terlalu aman, passwordnya lewat di internet dalam
          bentuk plaintext. kalau ada yang ngintip di salah satu komputer antara
          user ama server ya bisa ketahuan. lebih baik password di sandikan
          (hash) pakai md5. caranya? coba intip halaman loginnya yahoo hehhehehe


          > 2. Gimana caranya supaya data yang di tampilkan apabila kita ngeklik
          > menu yang lain
          > yang tampil tetap data masing2 dari yang sudah login.
          > apakah harus pake link : data.php?user_id<?=$user_id?>
          > atau bisa cara yang lain yang lebih aman...(yang nggak kelihatan di
          > URLnya ..GITU LHOO....)?
          > Terima kasih.......

          kalau sudah pakai session atau cookies, ya manfaatkan. simpankan data
          yang perlu di session atau cookies (sesuai selera). lalu panggil
          datanya dari sana buat ditampilkan di halaman html.

          contohnya:
          code buat nyimpan data di session
          > $_SESSION["user_id"] = $user_array[user_id];

          code buat nampilin di html
          <?
          session_start();
          echo $_SESSION["user_id"];
          ?>

          semoga membantu

          salam,
          ---
          youppie
        Your message has been successfully submitted and would be delivered to recipients shortly.