堆棧內存溢出
  簡體   English   中英

PHP和Active Directory身份驗證允許輸入錯誤的密碼

[英]PHP and Active Directory Authentication allows wrong password

 原文  2013-11-26 16:38:45       php/ active-directory

問題描述

我正在與我們的內部站點綁定以使用Active Directory進行身份驗證。 但是,如果您輸入了錯誤的密碼並找到了用戶名,它將仍然允許身份驗證。 因此,基本上,這告訴我,實際上甚至不檢查密碼是否匹配。 有沒有辦法確保實際的身份驗證發生? 

<?php session_start();
include '_includes/header.php';

// form defaults
$error['alert'] = '';
$error['user']  = '';
$error['pass']  = '';

$input['user']  = '';
$input['pass']  = '';



if(isset($_POST['submit']))
{
    if($_POST['username'] == '' || $_POST['password'] == '')
    {
        if($_POST['username'] == '') { $error['user'] = 'required!'; }
        if($_POST['password'] == '') { $error['pass'] = 'required!'; }
        $error['alert'] = 'Please fill in the required fields';

        $input['user'] = htmlentities($_POST['username'], ENT_QUOTES);
        $input['pass'] = htmlentities($_POST['password'], ENT_QUOTES);

        include 'views/v_authentication.php';
    }
    else
    {
        $input['user'] = htmlentities($_POST['username'], ENT_QUOTES);
        $input['pass'] = htmlentities($_POST['password'], ENT_QUOTES);
        $user = $input['user'] . '@domain.local';

        $ldap = ldap_connect("name.of.ldap.server");
        if($bind = ldap_bind($ldap, $user, $pass)) {

            $_SESSION['id'] = $id;
            $_SESSION['type'] = $type;
            $_SESSION['username'] = $input['user'];
            $_SESSION['last_active'] = time();

            header('Location: index.php');

        } else {

                // username/password incorrect
            $error['alert'] = "Username or password incorrect!";

            include 'views/v_authentication.php';

        }
    }
}
else
{
    // check for any variables within the URL
    if (isset($_GET['unauthorized']))
    {
        $error['alert'] = 'Please login to view that page!';
    }
    if (isset($_GET['timeout']))
    {
        $error['alert'] = 'Your session has expired. Please log in again.';
    }

    // if the form hasn't been submitted, show form
    include 'views/v_authentication.php';
}

$ldap->close();

 ?>

 <?php include 'views/v_authentication.php'; ?>

 <?php include '_includes/footer.php'; ?>

1 個解決方案

解決方案1
 0 已采納  2013-11-26 16:47:40

$ pass在上面的代碼中未定義,因此null傳遞給ldap_bind()。 根據文檔,這將嘗試進行匿名綁定,這在您的設置中似乎成功。 傳遞$ input ['pass']應該可以做到。

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 ldap身份驗證-活動目錄和php 使用Kerberos進行PHP Active Directory身份驗證 如何在PHP中通過ldap獲取活動目錄的密碼? 如何使用 PHP 添加 Active Directory 身份驗證密碼? 使用PHP更新活動目錄上的密碼 使用 PHP 腳本更改 Active Directory 用戶密碼 使用 PHP 在 Active Directory 中更改密碼時出錯 使用Microsoft Azure活動目錄進行PHP用戶身份驗證 PHP NTLM身份驗證到Active Directory +保持會話 使用PHP身份驗證密碼保護整個目錄
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM