Scripts - Tutorials - Forum - Downloads - Showcase - Contact

Artikels

VPN vergelijken

Algemeen

Beginpagina

FAQ

Grafische worm (243)

Links

Nieuwsartikels

Nieuwsarchief

Boeken programmeren

Overzicht

Samenwerken

Webhosting

Zoek op Sitemasters

Leden

Registreren

Ledenlijst

Ons team

Links

webhostingtop10.be

Sociale media

Follow @sitemasters

Sitemasters

Adverteren op Sitemasters?

Contacteer ons

RSS

Link naar ons

Donaties

Poll

Je moet ingelogd zijn om te stemmen.

Statistieken

Linkpartners

Forum

Categorieën > PHP

Veilig?

ikki007 - 16/12/2006 22:41

PHP ver gevorderde

Ik gebruik dit om in te loggen, en de 2de om te checken of er ingelogd is.. Is dit veilig?

php code - Bekijk de code zonder highlighting - Klap code in

<?php
if(isset($_SESSION['gebruiker'])) {
	header("Location: index.php?pagina=paneel");
	exit();
}
elseif($_SERVER['REQUEST_METHOD'] == 'POST') {
    
$gebruikersnaam = cc_input($_POST['gebruikersnaam']);
$wachtwoord = cc_input($_POST['wachtwoord']);
$wachtwoord = md5($wachtwoord);
    
        $gebruikerzoeken = mysql_query("SELECT id FROM leden WHERE gebruikersnaam = '$gebruikersnaam' AND wachtwoord = '$wachtwoord'") or die(mysql_error());
        
    if(mysql_num_rows($gebruikerzoeken) == 0) {
        echo 'De gebruikersnaam en wachtwoord komen niet overeen.';
    } else {

        $_SESSION['gebruiker']      = mysql_result($gebruikerzoeken, 0);
        $_SESSION['gebruikersnaam'] = $gebruikersnaam;

        header("Location: index.php?pagina=paneel");
        exit();

    }
}
?>
<form action="<?=cc_input($_SERVER['REQUEST_URI'])?>" method="post">
Gebruikersnaam:<br />
<input type="text" name="gebruikersnaam" /><br />
Wachtwoord:<br />
<input type="password" name="wachtwoord" /><br />
<br />
<input type="submit" value="Inloggen" />
</form>

<?php
if(isset($_SESSION['gebruiker'])) {
	header("Location: index.php?pagina=paneel");
	exit();
}
elseif($_SERVER['REQUEST_METHOD'] == 'POST') {
 
$gebruikersnaam = cc_input($_POST['gebruikersnaam']);
$wachtwoord = cc_input($_POST['wachtwoord']);
$wachtwoord = md5($wachtwoord);
 
        $gebruikerzoeken = mysql_query("SELECT id FROM leden WHERE gebruikersnaam = '$gebruikersnaam' AND wachtwoord = '$wachtwoord'") or die(mysql_error());
 
    if(mysql_num_rows($gebruikerzoeken) == 0) {
        echo 'De gebruikersnaam en wachtwoord komen niet overeen.';
    } else {
 
        $_SESSION['gebruiker']      = mysql_result($gebruikerzoeken, 0);
        $_SESSION['gebruikersnaam'] = $gebruikersnaam;
 
        header("Location: index.php?pagina=paneel");
        exit();
 
    }
}
?>
<form action="<?=cc_input($_SERVER['REQUEST_URI'])?>" method="post">
Gebruikersnaam:<br />
<input type="text" name="gebruikersnaam" /><br />
Wachtwoord:<br />
<input type="password" name="wachtwoord" /><br />
<br />
<input type="submit" value="Inloggen" />
</form>

php code - Bekijk de code zonder highlighting - Klap code in

<?php
if(!isset($_SESSION['gebruiker'])) {
        header("Location: index.php?pagina=inloggen");
        exit();
}
?>
       
Dit moet ALLEEN voor ingelogde gebruiker zijn..

<?php
if(!isset($_SESSION['gebruiker'])) {
        header("Location: index.php?pagina=inloggen");
        exit();
}
?>
 
Dit moet ALLEEN voor ingelogde gebruiker zijn..

Is het goed veilig?

10 antwoorden

Gesponsorde links

vinTage - 16/12/2006 22:52
Nieuw lid		Als cc_input een functie is die je inputs addslashed of mysql_reall_escape meuked, dan lijkt het me wel safe ja, anders niet.

ikki007 - 16/12/2006 22:55

PHP ver gevorderde

php code - Bekijk de code zonder highlighting - Klap code in

<?php
function cc_input($waarde) {
  if (get_magic_quotes_gpc()) {
    $waarde = addslashes($waarde);
  }
  if(version_compare(phpversion(),"4.3.0") == "-1") {
    return mysql_escape_string($waarde);
  } else {
    return mysql_real_escape_string($waarde);
  }
}
?>

<?php
function cc_input($waarde) {
  if (get_magic_quotes_gpc()) {
    $waarde = addslashes($waarde);
  }
  if(version_compare(phpversion(),"4.3.0") == "-1") {
    return mysql_escape_string($waarde);
  } else {
    return mysql_real_escape_string($waarde);
  }
}
?>

ikkedikke - 16/12/2006 23:04
PHP expert		Ik neem aan dat je van tevoren wel een sessie gestart hebt? Verder is die cc_input op het wachtwoord niet nodig omdat je daar toch md5 overheen haalt. daar zitten nooit quotes in oid.

remcobers - 16/12/2006 23:12
PHP expert		$_SESSION['gebruikersnaam'] = $gebruikersnaam; Zou ik zelf ff anders doen (heeft weinig met de veiligheid te maken). Want als ik nu inlog met RemCoBeRs dan zal hij wel inloggen en is dit me gebruikersnaam

nemesiskoen - 16/12/2006 23:46
PHP expert		Authorisatie zonder met ip-adressen te werken is imo zelfmoord. Er is IMO geen veilige manier zonder iets met het ip adres te doen.

Real - 16/12/2006 23:58
HTML interesse		Hoe zou je wat met ip adressen willen doen dan? Mensen loggen toch ook op andere computers met een ander ip adres in?

nemesiskoen - 17/12/2006 00:36
PHP expert		Ja, toch heel eenvoudig mogelijk. Zijn de login gegevens correct: zet een cookie met randomstring, ip-adres en userid. Maakt toch geen fuck uit dat dat op een andere computer is of niet.

Gerard - 17/12/2006 04:07
Ouwe rakker		@ikki007 Die functie van je maakt een klein beetje een foutje. Als magic quotes enabled is ga jij nog eens addslashes() erover gooien. Daarna gooi je nog een keer mysql_(real_)escape_string() erover. Als ik dus in mijn invoerveld "Koen leeft vooral 's nachts" invoer krijg ik van jouw functie terug; "Koen leeft vooral \\\\\'s nachts". Ik neem dus aan dat je stripslashes uitvoert als magic_quotes_gpc aanstaat.

ikki007 - 17/12/2006 09:54 (laatste wijziging 17/12/2006 09:54)

PHP ver gevorderde

@Proximus, dus ik kan beter dit doen:

php code - Bekijk de code zonder highlighting - Klap code in

<?php
function cc_input($waarde) {
  if (get_magic_quotes_gpc()) {
    $waarde = stripslashes($waarde);
  }
  if(version_compare(phpversion(),"4.3.0") == "-1") {
    return mysql_escape_string($waarde);
  } else {
    return mysql_real_escape_string($waarde);
  }
}
?>

<?php
function cc_input($waarde) {
  if (get_magic_quotes_gpc()) {
    $waarde = stripslashes($waarde);
  }
  if(version_compare(phpversion(),"4.3.0") == "-1") {
    return mysql_escape_string($waarde);
  } else {
    return mysql_real_escape_string($waarde);
  }
}
?>

@vage, kan jij mij dit verder uitleggen en ook uitleggen wat het nut ervan is? ikzelf werk nooit met cookie's

@remcobers, hoe moet ik hem dan doen

@ikkedikke, ja de sessie is gestart

remcobers - 17/12/2006 17:32
PHP expert		Nadat je weet of iemand mag inloggen de username uit de database in de sessie stoppen

Gesponsorde links

Dit onderwerp is gesloten.

Actiefste leden van de maand

Actieve forumberichten