Безопасность кода php -> mysql?

Question

[V9821]

Всем привет. Встал вопрос как обезопасить свою CMS от инъекций. Приведу код ниже, и задам вам вопрос. Какая вероятность того, что мой код безопасен и как можно его еще обезопасить?

<?php
require_once ($_SERVER['DOCUMENT_ROOT']. '/session.php');
if(!empty($_SESSION['login']) and !empty($_SESSION['password']))  {
	$result = $mysqli->query("SELECT * FROM users_all WHERE name LIKE '".$_SESSION['login']."'");
	if ($result->num_rows > 0) {
		$password_mysql = $mysqli->query("select password from users_all where name='".$_SESSION['login']."'")->fetch_object()->password;
		$realname = $mysqli->query("select name from users_all where name='".$_SESSION['login']."'")->fetch_object()->name;
		if (!password_verify(urldecode($_SESSION['password']), $password_mysql)) {
			include('login.php');
		} else {
			include('profile.php');
		}
	} else {
		include('login.php');
	}
} else {
	include('login.php');
}
?>

Comments

[Ипатьев]

а как называется файл, в котором этот код написан?

[V9821]

Роман Юрьевич Ипатьев, algo.php

[Ипатьев]

хм. а что это значит?

[Ипатьев]

ну тут пока главное логика непонятна.
этот код всегда показывает или профиль, или логин.
Никаких других страниц он в принципе не покажет
на сайте всего две страницы, других нет?

[V9821]

Роман Юрьевич Ипатьев, страницы есть, но главный смысл того, чтобы профиль был доступен только для авторизированных пользователей им будут доступны возможности личного кабинета

[Ипатьев]

так речь не про профиль, а про индекс же
индекс включает в себя algo, а он может показать либо профиль, либо логин
это так и задумано?

но самое главное - а profile.php-то как-то защищён?если на него напрямую зайти, без algo?

[V9821]

Роман Юрьевич Ипатьев, запутал я вас.. algo- если сессии нет, то будет запрос логина. Если логин уже вводили, то будет показывать профиль пользователя.

Если напрямую, через адресную строку войти в profile.php, то будет тоже самое- если пользователь авторизовался, то его впустит в profile.php, если еще не авторизовался то страница откройется но информации о пользователе не будет

[Ипатьев]

ну то есть индекс работает как страница профиля? Ничего другого index.php не показывает? только прочиль и логин?

какая-то очень сложная система.

обычно делают совсем по-другому. В страницы, которые надо защищить, вставляют код, который проверяет сессию.

[V9821]

Роман Юрьевич Ипатьев, с вашего позволения, я могу предоставть главную страницу ))

[Ипатьев]

Нет, не надо. Мне этого кода достаточно. На сегодня впечатлений хватит

На вашем месте я бы пока отложил в сторону написание супер-CMS, и поучился пока работать с базой данных. Чтобы получать одну строчку из БД одним запросом, а не тремя. И с нормальной защитой от инъекций.
После освоения этой премудрости можно будет продолжить за архитектуру и безопасность.

Answer 1

[d-sem]

"select password from users_all where name='".$_SESSION['login']."'"

https://owasp.org/www-community/attacks/SQL_Injection

$_SESSION['password']
https://stackoverflow.com/questions/19594202/is-it...

Answer 2

[Ипатьев]

Вопрос хороший, характерностью имеющихся в коде ошибок.

На первом месте тут конечно , конечно, незабвенный Бобби Тейблс и его прошаренная мамаша.
Таблицу здесь удалить не получится, но вот скачать всю базу - запросто.

Плюс мамаша конечно тупит. Данные надо не "экранировать", поскольку почти никто не понимает, что это значит, а отправлять в БД отдельно от запроса.

Но меня здесь больше интресует не безопасность, а осмысленность данного кода.
Если элемент "login" попадает в сессию в результате авторизации, то зачем снова делать все эти 100500 запросов в БД?
Я бы этот код сократил до

<?php
require_once $_SERVER["DOCUMENT_ROOT"] . "/engine/core/session.php";
if (empty($_SESSION["user_id"])) {
    include "login.php";
    die;
}

и поместил в profile.php

При этом убедившись, что код собственно авторизации выглядит как-то так

$stmt = $conn->prepare("SELECT * FROM users_all WHERE name=?");
$stmt->bind_param("s", $_POST['name']);
$stmt->execute();
$user = $stmt->get_result()->fetch_assoc();

if ($user && password_verify($_POST['password'], $user['password']))
{
    $_SESSION['user_id'] = $user['id'];
    header("Location: /profile.php");
    die;
}

Answer 3

[Rsa97]

Какая вероятность того, что мой код безопасен

Околонулевая

как можно его еще обезопасить

Как минимум, использовать подготовленные выражения.

Ну и уйти от большой вложенности if'ов.