安全的LDAP PHP脚本?

时间:2018-02-28 13:34:04

标签: php security ldap session-variables

我想知道我的脚本是否安全。特别是将序列化对象存储在会话变量中。

index.php是受保护站点的登录(我省略了html部分)。受保护的站点从LDAP读取和打印Infos。为了从用户条目读取LDAP信息,用户必须与LDAP绑定,否则ldap_read将返回错误。没有在main.php中的用户绑定是我错误的第一次尝试。

如果登录成功,另一种可能性是在index.php中包含main.php。但我不想这样做。

所以我尝试了这种方式并且它有效,但我不确定这是多么安全。特别是会话变量中的对象。

# index.php
<?php
    session_start();
    include_once("LDAP.php");
    if (isset($_POST) && isset($_POST['loginName']) && isset($_POST['loginPassword'])){        
        $ActiveDirectoryUser = new ActiveDirectoryUser($_POST['loginName'], $_POST['loginPassword']);
        if ($ActiveDirectoryUser->connect()) {                
            $_SESSION['unique_string'] = true;
            $_SESSION['unique_string_Obj'] = serialize($ActiveDirectoryUser);
            header('Location: main.php');
        }
    }
?> 

# LDAP.php
<?php
/**
 * Always have documentation here
 */
class ActiveDirectoryUser {
    private $connection;
    private $username;
    private $password;
    private $ldap_db = "Server Adress";
    private $ldap_connection;

    /**
     * Always have documentation 
     * @param $username string
     * @param $password string
     */
    public function __construct($username, $password) {
      $this->username = "uid=".$username.",ou=users,dc="company_name",dc=de";
      $this->password = $password;
    }

    /**
     * Always have documentation
     */
    public function __destruct(){
        ldap_close($this->ldap_connection);
    }

    /**
     * Always have documentation 
     * @param $username string
     * @param $password string
     */

    public function connect() {
        $this->ldap_connection = ldap_connect($this->ldap_db);

        if ($bind = ldap_bind($this->ldap_connection, $this->username, $this->password)) {
            return True;
        } else {
            return False;
        }
    }

    /**
     * Always have documentation
     */
    public function getInfos(){
        ldap_set_option($this->ldap_connection, LDAP_OPT_PROTOCOL_VERSION, 3);
        ldap_set_option($this->ldap_connection, LDAP_OPT_REFERRALS, 0);

        $bind = ldap_bind($this->ldap_connection, $this->username, $this->password);

        $filter = "(objectclass=*)";

        $justthese = array("sn", "givenname", "mail");

        $sr = ldap_read($this->ldap_connection, $this->username, $filter, $justthese);

        $info = ldap_get_entries($this->ldap_connection, $sr);

        return $info;
    }
}
?>

# main.php
<?php
    session_start();
    include_once("LDAP.php");
    $ActiveDirectoryUser = unserialize($_SESSION["unique_string_Obj"]);            
    if($ActiveDirectoryUser->connect()) {                
        $entry = $ActiveDirectoryUser->getInfos();
    }
?>

1 个答案:

答案 0 :(得分:0)

我是否认为您正在将序列化的用户对象存储在会话中?哪个包含用户密码的明文?那是 - 至少在我看来 - 非常不安全。

我已经看到了一种方法,没有为后续通话提供密码,但由于我不知道你的确切环境,我就是这样做的。接下来的事情是看到只存储加密的密码并在需要时解密。但根本没有dtoring将是首选!

您是否看过f.e的源代码? Gosa或PHPLdapAdmin?他们有类似的问题需要解决。