Ce script php est-il sécurisé pour utiliser sur mon site?

Question

Je veux protéger un peu du contenu de mon site avec un mot de passe et je pense à utiliser ce script php.

Pensez-vous que c'est un bon moyen de partir?

Savez-vous quelque chose de mieux pour cette tâche ou un moyen d'améliorer (si nécessaire) mince?

Le code pour charger le contenu de la base de données est:

<?php 


error_reporting(0); 
include("config.php"); 


if (!isset($_REQUEST["p"])) { 

    echo 'document.write("<div id=\"protected_'.intval($_REQUEST["id"]).'\">");'; 
    echo 'document.write("<form onsubmit=\'return LoadContent(\"'.intval($_REQUEST["id"]).'\",\"protected_'.intval($_REQUEST["id"]).'\",document.getElementById(\"pass_'.intval($_REQUEST["id"]).'\").value); return false;\'\"><input type=\'password\' size=\'30\' placeholder=\'Content is protected! Enter password.\' id=\"pass_'.intval($_REQUEST["id"]).'\"></form>");'; 
    echo 'document.write("</div>");'; 

} else { 

    $sql = "SELECT * FROM ".$SETTINGS["data_table"]." WHERE `id`='".intval($_REQUEST["id"])."' AND password='".mysql_real_escape_string($_REQUEST["p"])."'"; 
    $sql_result = mysql_query ($sql, $connection) or die ('request "Could not execute SQL query" '.$sql); 

    if (mysql_num_rows($sql_result)==1) { 
     $row = mysql_fetch_assoc($sql_result); 
     echo $row["content"]; 
    } else { 
     echo 'Wrong password'; 
    } 

} 

?> 

Answer 1

Comme je l'ai dit dans les commentaires, vous ne devriez pas passer plus de temps avec ce que vous avez téléchargé depuis il est vieux et pas en sécurité.

Vous pouvez enregistrer des mots de passe en texte brut, ce qui n'est certainement pas une bonne idée.

• Il est temps d'entrer dans le 21ème siècle.

L'API mysql_ est obsolète et a été entièrement supprimée de PHP 7.0. Il est préférable d'utiliser une instruction préparée et password_hash() ou compatibility pack.

Voici quelques références:

• http://php.net/manual/en/book.password.php
• http://php.net/manual/en/function.password-hash.php
• http://php.net/manual/en/pdo.prepared-statements.php
• http://php.net/manual/en/mysqli.quickstart.prepared-statements.php

N.B. L'utilisation de mysql_real_escape_string() ne garantit pas entièrement la protection contre une éventuelle injection SQL.

Consulter le Q suivant & A sur le sujet:

• SQL injection that gets around mysql_real_escape_string()

Voici un morceau de code tiré d'un ou ircmaxell's réponses qui utilise une instruction préparée (AOP) et password_hash().

tiré de: https://stackoverflow.com/a/29778421/1415724

Il suffit d'utiliser une bibliothèque. Sérieusement. Ils existent pour une raison.

• PHP 5.5+: utiliser password_hash()
• PHP 5.3.7+: utilisez password-compat (un pack de compatibilité pour ci-dessus)
• Tous les autres: utiliser phpass

Ne pas le faire vous-même . Si vous créez votre propre sel, vous le faites mal. Vous devriez utiliser une bibliothèque qui gère cela pour vous.

$dbh = new PDO(...); 

$username = $_POST["username"]; 
$email = $_POST["email"]; 
$password = $_POST["password"]; 
$hash = password_hash($password, PASSWORD_DEFAULT); 

$stmt = $dbh->prepare("insert into users set username=?, email=?, password=?"); 
$stmt->execute([$username, $email, $hash]); 

Et connexion:

$sql = "SELECT * FROM users WHERE username = ?"; 
$stmt = $dbh->prepare($sql); 
$result = $stmt->execute([$_POST['username']]); 
$users = $result->fetchAll(); 
if (isset($users[0]) { 
    if (password_verify($_POST['password'], $users[0]->password) { 
     // valid login 
    } else { 
     // invalid password 
    } 
} else { 
    // invalid username 
}