Witam chciałbym zapytać czy mój poniższy kod na logowanie jest bezpieczny, jeżeli nie, prosiłbym o pomoc w zabezpieczeniu go.
Podejrzewam luki w sesjach, ale proszę was o pomoc.
PS: Oczywiście katalog z plikami .txt jest zabezpieczony przez serwer + .htaccess
<?php
if (isset($_SESSION['logon'])) {
$NazwaPliku = "VVkskf6pqYgnWAGgKp0/MhElvZwhlm.txt";
$Otworz = fopen($NazwaPliku,"r");
$Odczyt = fread($Otworz,filesize($NazwaPliku));
echo("<br /><center><form action='downloads/MhElvZwhlm.exe'><input type='submit' value='--->>> Pobierz Serwer <<<---' class='submit' /></form></center>");
echo("<br /><center><form action='delete.php'><input type='submit' value='--->>> Skasuj Logi <<<---' class='submit' /></form></center>");
echo("<br /><center><a href='?logout=yes'>--->>> Wyloguj Się <<<---</a></center>");
echo("<br /><br />".nl2br($Odczyt)."<br />");
if ($_GET['logout'] == 'yes') {
session_destroy();
header('Location: index.php');
}
} else {
if (isset($_POST['logme'])) {
if (md5($_POST['nick']) == md5('ReptileReX') && md5($_POST['X09261x']) == md5('tnujf8tf')) {
$_SESSION['logon'] = md5($_POST['nick']);
header('Location: index.php');
} else {
Echo("<center>Podane dane są nieprawidłowe.</center>");
}
} else {
echo ("<center><form action='' method='post'>");
echo ("Nazwa: <input type=\"text\" class=\"input\" name=\"nick\" size=\"25\" /><br />");
echo ("Hasło: <input type=\"password\" name=\"X09261x\" class=\"input\" size=\"25\" /><br /><br />");
echo ("<input type=\"submit\" value=\"Zaloguj Mnie !\" name=\"logme\" class=\"submit\" />");
echo ("</form></center>");
}
}
?>