Opened 22 months ago

Closed 22 months ago

Last modified 22 months ago

#1080 closed дефект (fixed)

!!! Не могу аутентифицироваться!

Reported by: alx Owned by: Denis_N
Priority: blocker Component: БД изделий АДС
Keywords: Cc:

Description

В r110/base изменился алгоритм аутентификации паролей пользователей.

Если раньше функции password_verify() передавался для проверки результат выражения mysqli_real_escape_string($link, $_POST["password"]) (где $_POST["password"] - введенный пользователем пароль), то теперь - проcто $_POST["password"]. То есть перед проверкой введенного пароля над ним больше не выполняется преобразование mysqli_real_escape_string().

Это изменение вряд ли может быть случайным, так как аналогичное изменение сделано и в коде регистрации новых пользователей...

В результате описанного выше изменения алгоритма аутентификации пользователей мой пароль больше не признается системой валидным, и я не могу аутентифицироваться. Фактически, изменением r110/base меня забанили в системе!!! ЗА ЧТО??? Хорошо что существующий сеанс продолжает действовать... Вероятно, такая фигня произошла не со мной одним...

Надеюсь, что у разработчика была очень веская причина для того чтобы изменить алгоритм аутентификации, раз он пошел на то чтобы лишить часть пользователей доступа к системе. Хотелось бы эту причину узнать.

И, если такой причины нет, хотелось бы вернуть старый алгоритм аутентификации, чтобы я (и другие пользователи) снова получили возможность входить в систему со своими любимыми паролями.

Change History (3)

comment:1 by Denis_N, 22 months ago

=) Алексей, это не было задумано. Извиняюсь

Для защиты от sql-иньекций, все запросы в базе переводились на "подготавливаемые", которые отбрасывают необходимость (как я думал до "сейчас") экранирования данных, поэтому функция я mysqli_real_escape_string была убрана из кода. Будет исправлено

Приносим Вам наши глубочайшие извинения! Мы ценим каждого пользователя!

С уважением, разработчик веб-интерфейса базы данных изготавливаемых изделий АДС, Неволин Д.С.

comment:2 by Denis_N, 22 months ago

Resolution: fixed
Status: newclosed

In 156/base:

Исправлен баг: !!! Не могу аутентифицироваться!

closes #1080

in reply to:  1 comment:3 by alx, 22 months ago

Replying to Denis_N:

=) Алексей, это не было задумано.

:) :) :)

Для защиты от sql-иньекций, все запросы в базе переводились на "подготавливаемые", которые отбрасывают необходимость (как я думал до "сейчас") экранирования данных,

Такой необходимости и не было никогда, ведь пароли пользователей не записываются в БД!

Приносим Вам наши глубочайшие извинения! Мы ценим каждого пользователя!

Спасибо! Буду с нетерпением ждать завершения моего случайного бана! :) :) :)

Note: See TracTickets for help on using tickets.