Loading ...
Sorry, an error occurred while loading the content.
 

Re: [id-php] Apakah sudah aman dengan menggunakan scripting seperti ini untuk login user...???

Expand Messages
  • ferdhie
    ... // lebih aman dari sql injection klo gini // username ga ada spasi khan? $uname = isset($_POST[ username ]) ? .. validasi username : ; $pass =
    Message 1 of 3 , Mar 4, 2005
      > login.php
      > $loginfail = ''; // ini buat apa???
      > if($_POST) // kalau isset($_POST['user_name'])

      // lebih aman dari sql injection klo gini
      // username ga ada spasi khan?
      $uname = isset($_POST['username']) ? .. validasi username : '';
      $pass = isset($_POST['password']) ? ... validasi password : '';

      // baru cek disini
      if ($uname != '' && $pass != '') {
      .... lakukan pencarian di sql
      }

      > yang tampil tetap data masing2 dari yang sudah login.
      > apakah harus pake link : data.php?user_id<?=$user_id?>
      > atau bisa cara yang lain yang lebih aman...(yang nggak kelihatan di
      > URLnya ..GITU LHOO....)?

      $_SESSION['user_id'] = $user_id;

      ... ntar di halaman lain tinggal ..
      $user_id = $_SESSION['user_od']

      peace :q!


      _________________
      Herdian Ferdianto

      __________________________________________________
      Do You Yahoo!?
      Tired of spam? Yahoo! Mail has the best spam protection around
      http://mail.yahoo.com
    • Youppie Arliansyah
      ... rasanya sih ga terlalu aman, passwordnya lewat di internet dalam bentuk plaintext. kalau ada yang ngintip di salah satu komputer antara user ama server ya
      Message 2 of 3 , Mar 5, 2005
        On Sat, 5 Mar 2005 13:48:39 +0700, Toekang Web <milisphp@...> wrote:
        >
        > Maaf para Master, saya ada beberapa pertanyaan mendasar yang perlu di
        > jelaskan...:)
        >
        >
        > Saya pakai login user script di bawah ini (diambil dari hotscripts.com) :
        >
        > LOGIN FORM :
        > form_login.php
        > <form action=login.php" name="login_form" method="POST">
        > Email Address/user id :<input type="text" name="username" >
        > Password : <input type="password" name="password" >
        > <input type="submit" name="userlogin" value="Login">
        > </form>
        >
        > login.php
        > <?
        > session_start();
        > $_SESSION['logged_in'] = 'False';
        > $loginfail = '';
        > require("db_connect.php");
        > if($_POST)
        > {
        > $sql = "select * from register where user_id='$_POST[username]'
        > and password='$_POST[password]' and active = 1 ";
        > $MyRst = mysql_query($sql, $GLOBALS[MyDB]);
        > if ($MyRow = mysql_fetch_row($MyRst)) {
        > $level = $MyRow[0];
        > header("Location: data.php");
        > $user_array = mysql_fetch_array($MyRst);
        > $_SESSION['logged_in'] = 'True';
        > $_SESSION["user_id"] = $user_array[user_id];
        > $_SESSION["session_id"] = $user_array[session_id];
        > $_SESSION["id"] = $user_array[id];
        > } else {
        > $_SESSION['logged_in'] = 'False';
        > }
        > }
        > ?>
        >
        > PERTANYAANNYA :
        > 1. Apakah script tersebut sudah aman/paling tidak susah untuk di hack..?
        > kalo blom aman apa yang perlu diperbaiki? klo ada contohnya juga
        > boleh...!!
        rasanya sih ga terlalu aman, passwordnya lewat di internet dalam
        bentuk plaintext. kalau ada yang ngintip di salah satu komputer antara
        user ama server ya bisa ketahuan. lebih baik password di sandikan
        (hash) pakai md5. caranya? coba intip halaman loginnya yahoo hehhehehe


        > 2. Gimana caranya supaya data yang di tampilkan apabila kita ngeklik
        > menu yang lain
        > yang tampil tetap data masing2 dari yang sudah login.
        > apakah harus pake link : data.php?user_id<?=$user_id?>
        > atau bisa cara yang lain yang lebih aman...(yang nggak kelihatan di
        > URLnya ..GITU LHOO....)?
        > Terima kasih.......

        kalau sudah pakai session atau cookies, ya manfaatkan. simpankan data
        yang perlu di session atau cookies (sesuai selera). lalu panggil
        datanya dari sana buat ditampilkan di halaman html.

        contohnya:
        code buat nyimpan data di session
        > $_SESSION["user_id"] = $user_array[user_id];

        code buat nampilin di html
        <?
        session_start();
        echo $_SESSION["user_id"];
        ?>

        semoga membantu

        salam,
        ---
        youppie
      Your message has been successfully submitted and would be delivered to recipients shortly.