login  Naam:   Wachtwoord: 
Registreer je!
 Forum

Cookie beveiligen

Offline SilVeX - 06/10/2006 09:48 (laatste wijziging 06/10/2006 09:57)
Avatar van SilVeXHTML beginner Iemand kan mijn site hacken door het ID in zijn cookie te veranderen.
Op die manier kan hij dus heel mijn site beheren als die het id van een admin invult.
Hoe kan ik mijn cookie beveiligen?:
php code - Bekijk de code zonder highlighting - Klap code in 
  1. <? $query = @mysql_query("SELECT * FROM leden WHERE gebruikersnaam='".$_POST['gebruikersnaam']."' AND wachtwoord='".md5($_POST['wachtwoord'])."'");
  2. 			$aantal = @mysql_num_rows($query);
  3. 			$row = @mysql_fetch_assoc($query);
  4.  
  5. 			if($aantal == TRUE){
  6.  
  7. 				$hash = rand(9999, 99999);
  8.  
  9. 				@mysql_query("UPDATE leden SET hash='".$hash."' WHERE id='".$row['id']."'");
  10.  
  11. 				mysql_query("DELETE FROM online WHERE ip='".$_SERVER['REMOTE_ADDR']."'");
  12.  
  13. 				setcookie("id", $row['id'], time()+$_POST['tijdingelogd']);
  14. 				setcookie("wachtwoord", $row['wachtwoord'], time()+$_POST['tijdingelogd']);
  15. 				setcookie("hash", $hash, time()+$_POST['tijdingelogd']);
  16.  
  17. 				header("location:index.php"); ?>

Alvast bedankt

8 antwoorden

Gesponsorde links
Offline Rens - 06/10/2006 09:53
Avatar van Rens Gouden medaille

Crew algemeen		 Elke keer een nieuwe geheime hash laten maken, en die ook in het cookie zetten.
En dan niet bij elke gebruiker dezelfde hash, maar echt elke keer bij elke gebruiker een aparte hash.
Offline SilVeX - 06/10/2006 09:57
Avatar van SilVeX HTML beginner En dat moet zeker met een functie()?
Offline Rens - 06/10/2006 10:02
Avatar van Rens Gouden medaille

Crew algemeen		 Dat kan, hoeft niet per sé.
Je kunt er bijvoorbeeld ook zo'n script voor gebruiken voor een wachtwoord te laten maken...
Offline SilVeX - 06/10/2006 10:08
Avatar van SilVeX HTML beginner Alvast bedankt Rensjuh,

http://www.site...&id=80
Zou het kunnen met dat script?
Ik heb niet zoveel verstand van dat ingewikkelde php
Offline Rens - 06/10/2006 10:08
Avatar van Rens Gouden medaille

Crew algemeen		 Daar kan het inderdaad mee ja 
Offline SilVeX - 06/10/2006 10:30 (laatste wijziging 06/10/2006 10:39)
Avatar van SilVeX HTML beginner ok, ty

Ik zal het gaan proberen

Edit: Ik kom er niet uit :S
Offline Nrzonline - 06/10/2006 10:58 (laatste wijziging 06/10/2006 11:15)
Avatar van Nrzonline PHP ver gevorderde Ik heb een voorbeeld geschreven (PHP gedeelte, HTML zelf doen).
Mocht je er wat aan hebben: http://www.plaatscode.be/2800/
Mogelijke fouten natuurlijk voorbehouden..

Jouw script werkt niet veilig omdat je hem maar 1 keer controleerd, en dat is bij het inloggen zelf. Na correct ingelogged te hebben, kan je de cookie zijn userID veranderen, en toch blijft hij correct ingelogged omdat hij niet meer gecontroleerd wordt.

Haha, ik droom nog of iets dergelijks. Domme cookie fout 
Ik zal het even aanpassen, en opnieuw dumpen.
Opgelost

Succes ermee,
Nrzonline
Offline SilVeX - 06/10/2006 11:46
Avatar van SilVeX HTML beginner Thanks Nrzonline
Maar ik kom er alsnog niet uit.
Dit is mijn complete inloggen.php
http://www.plaatscode.be/2801/
Gesponsorde links
Dit onderwerp is gesloten.
Actieve forumberichten
© 2002-2024 Sitemasters.be - Regels - Laadtijd: 0.188s