1. 首页
  2. 问答
  3. 我的登录功能是否安全?不知道如何改进它

我的登录功能是否安全?不知道如何改进它

2011-10-21 45 views
-1

使用cakePHP,我很想拥有关于这个小源代码的观点,我不确定它是否足够安全。将使用另一个散列脚本删除sha1()。我发现它可以被优化,但是如何?我的登录功能是否安全?不知道如何改进它

三江源

类UsersController扩展控制器{

function account($Req){ 
     if(isset($Req->post->login)){ 
      $login = addslashes($Req->post->login); 
      $password = sha1(addslashes($Req->post->password)); 
      $pass_confirm = sha1(addslashes($Req->post->pass_confirm)); 
      $email = addslashes($Req->post->email); 
      $signature = addslashes($Req->post->signature); 

      if(empty($login) || empty($email)){ 
       $this->Session->setFlash("You hav to complete each fiedls", "error"); 
          $this->Request->redirect(SITE . "users/account"); 
      } 
      elseif($pass_confirm != $password) { 
          $this->Session->setFlash("You gave two differents password", "error"); 
          $Req->redirect(SITE . "users/account"); 
        } 

      $this->loadModel("Users"); 

        $dispoLogin = $this->Users->findCount(array(
          "login" => $login 
        )); 
        if($dispoLogin === 0){ 
          $this->Session->setFlash("The login is already use by someone else", "error"); 
          $this->Request->redirect(SITE . "users/account"); 
        } 

      $dispoEmail = $this->Users->findCount(array(
          "email" => $email 
        )); 
        if($dispoEmail === 0){ 
          $this->Session->setFlash("Email adress already use by someone else", "error"); 
          $this->Request->redirect(SITE . "users/account"); 
        } 

        if(empty($password)){ 
          $q = $this->Users->findFirst(array(
            "fields" => "password", 
            "conditions" => array(
              "id" => $this->User->id 
            ) 
          )); 
          $password = sha1($q->password); 
        } 

        $this->Users->save(array(
          "id" => $this->User->id, 
          "login" => $login, 
          "password" => $password, 
          "email" => $email, 
          "signature" => $signature 
        )); 
        $this->user->setData(array(
          "login" => $login, 
          "password" => $password, 
          "email" => $email, 
          "signature" => $signature 
        )); 

        $this->Session->setFlash("Your profile page is updated"); 
        $this->Request->redirect(SITE); 
     } 
}

来源

2011-10-21 Zeroth

+0

这是一个更适合programmers.stackexchange.com,投票移动那里。 – Bojangles

+2

@JamWaffles它也不适合那里。 http://codereview.stackexchange.com – Mob

+0

@Mob Darn it!有两个混合起来。 – Bojangles

回答

4

,因为你真的是得到了很多错在这里请仔细阅读CakePHP Documentation,最好是从一开始。

  • 没有必要addslashes()一切,(或任何曾经)
  • CakePHP有它自己的AuthComponent,所以没有必要推出自己的
  • 它也有一个validation engine,因此无需验证什么这里
  • 你也传递一些Request对象给方法吗?我甚至不想问......

这个行动应该基本上是大约6行长。 TL; DR:阅读CakePHP身份验证文档,然后重新开始。

来源

2011-10-21 11:42:20 Dunhamzzz

相关问题

 相关问题