我正在建造一个小型cms系统。用户可以在数据库中登录和编辑,删除或创建新项目。PHP登录系统。安全?
我的问题是。这个登录系统足够安全吗?
<?php
session_start(); ?>
<!DOCTYPE HTML>
<html>
<head>
<meta charset="utf-8">
<title>.....</title>
</head>
<body>
<?php
include 'koder.inc.php';
if(!isset($_POST['forsoeg'])){
$forsoeg = 0;
$check_user='0';
$check_pass='0';
} else {
$forsoeg = $_POST['forsoeg'];
$check_user = $_POST['username'];
$check_pass = $_POST['password']; }
if($check_user != $username || $check_pass != $password) {
if($forsoeg >3){
exit("<p>Wrong password or username <br /><br />
<a href='admin_logon.php'>back to login</a></p>");}
$forsoeg ++;
?>
<h1>Login</h1>
<form action="<?php echo $_SERVER['PHP_SELF']; ?>" method="post" name="form">
<p>
<label for="username">username:</label>
<br />
<input title="username:" type="text" name="username" />
</p>
<p>
<label for="password">Password:</label>
<br />
<input title="Skriv dit password" type="text" name="password" />
</p>
<p>
<input class="knap" type="submit" name="Send" value="Login" />
</p>
<input type="hidden" name="forsoeg" value="<?php echo $forsoeg; ?>" />
</form>
<?php
} else {
$_SESSION['logon']="ok";
echo "Login ok..<br />
<a href='administration.php'>Go to admin page</a>"; } ?>
</body>
</html>
我那么包括koder.inc.php
<?php
$username = "test";
$password = "123456";
?>
并就需要有效的用户的页面我
<?php
session_start(); ?>
用户名密码以纯文本形式存储在文件中 - 您只有一个用户? – 2012-08-09 10:23:11
@Dagon不能使用SQL注入用纯文本文件:存储在文件中明文P teehee – Fluffeh 2012-08-09 10:25:24
@user名密码。这是个问题吗? 现在是。但是,我将不得不创造更多的用户。 – Kasper 2012-08-09 10:26:26