Scripts - Tutorials - Forum - Downloads - Showcase - Contact

Artikels

VPN vergelijken

Algemeen

Beginpagina

FAQ

Grafische worm (243)

Links

Nieuwsartikels

Nieuwsarchief

Boeken programmeren

Overzicht

Samenwerken

Webhosting

Zoek op Sitemasters

Leden

Registreren

Ledenlijst

Ons team

Links

webhostingtop10.be

Sociale media

Follow @sitemasters

Sitemasters

Adverteren op Sitemasters?

Contacteer ons

RSS

Link naar ons

Donaties

Poll

Je moet ingelogd zijn om te stemmen.

Statistieken

Linkpartners

Forum

Categorieën > PHP

Veiligheid

SvenP - 26/04/2005 15:37

PHP interesse

Waneer is een loginscript pas echt veilig?

php code - Bekijk de code zonder highlighting - Klap code in

<?php
if(isset($session)){
		echo "<table width=\"90%\" cellSpacing=\"0\" cellPadding=\"2\" border=\"1\" bordercolor=\"#000000\" style=\"border-collapse: collapse\" align=\"center\">";
		echo "<tr><td colspan=\"2\" height=\"10\" class=\"title\"><img src=\"images/$skin/button.gif\" border=\"0\" height=\"8\" width=\"8\"> <b>Error</b></td></tr>";
		echo "<tr><td class=\"content\">Je bent al ingelogd, Dit hoeft geen twee keer te gebeuren. <a href=\"index.php?p=logout\">(loguit)</a></td></tr></table>";

}else{
if($_SERVER['REQUEST_METHOD'] == 'POST'){
	$query = "SELECT * FROM `members` WHERE `username`='" . $_POST["username"]  ."' AND `password`='". md5($_POST["password"]) . "'";

	$result = mysql_query($query);

	if(mysql_num_rows($result) != 0){
		$user = $_POST["username"];
		$password = $_POST["password"];
		$_SESSION['a4o'] = $user;
		$_SESSION['password'] = $password;

echo "<table width=\"90%\" cellSpacing=\"0\" cellPadding=\"2\" border=\"1\" bordercolor=\"#000000\" style=\"border-collapse: collapse\" align=\"center\">";
echo "<tr><td class=\"title\"><img src=\"images/button.gif\" border=\"0\" height=\"8\" width=\"8\"> <b>Login</b></td></tr><tr><td class=\"content\">Je bent met succes ingelogd!</td></tr><meta http-equiv=\"refresh\" content=\"1; url=index.php\">";
echo "</table>";
		
	}else{
		echo "<table width=\"90%\" cellSpacing=\"0\" cellPadding=\"2\" border=\"1\" bordercolor=\"#000000\" style=\"border-collapse: collapse\" align=\"center\">";
		echo "<tr><td class=\"title\"><font color=\"BD0000\"><b>Error!</b></font></td></tr><tr><td class=\"content\">Voorkomende redenen:<br>";
			echo "<blockquote>Verkeerde gebruikersnaam of wachtwoord<br>Velden niet ingevuld</blockquote><br>Probeer opnieuw";
			echo "</td></tr></table>";
	}
}else{
?><FORM ACTION="<? $_SERVER["PHP_SELF"] ?>" METHOD="POST"><?
echo "<table width=\"90%\" cellSpacing=\"0\" cellPadding=\"2\" border=\"1\" bordercolor=\"#000000\" style=\"border-collapse: collapse\" align=\"center\">";
echo "<tr><td colspan=\"2\" height=\"10\" class=\"title\"><img src=\"images/$skin/button.gif\" border=\"0\" height=\"8\" width=\"8\"> <b>Gebruiker Login</b></td></tr>";
echo "<tr><td bgcolor=\"$header_color1\" width=\"200\" class=\"content\">Gebruikersnaam:</td>";
echo "<td bgcolor=\"$header_color1\" class=\"content\"><input type=\"text\" name=\"username\" style=\"width: 250px\"></td></tr>";
echo "<tr><td bgcolor=\"$header_color1\" width=\"200\" class=\"content\">Wachtwoord:</td>";
echo "<td bgcolor=\"$header_color1\" class=\"content\"><input type=\"password\" name=\"password\" style=\"width: 250px\"></td></tr>";
echo "<td bgcolor=\"$header_color1\" colspan=\"2\" class=\"content\"><input type=\"submit\" name=\"submit\" value=\"Login\" style=\"width: 100px\"></td></tr>";
echo "</table>";
echo "</form>";
} }
?>

<?php
if(isset($session)){
		echo "<table width=\"90%\" cellSpacing=\"0\" cellPadding=\"2\" border=\"1\" bordercolor=\"#000000\" style=\"border-collapse: collapse\" align=\"center\">";
		echo "<tr><td colspan=\"2\" height=\"10\" class=\"title\"><img src=\"images/$skin/button.gif\" border=\"0\" height=\"8\" width=\"8\"> <b>Error</b></td></tr>";
		echo "<tr><td class=\"content\">Je bent al ingelogd, Dit hoeft geen twee keer te gebeuren. <a href=\"index.php?p=logout\">(loguit)</a></td></tr></table>";
 
}else{
if($_SERVER['REQUEST_METHOD'] == 'POST'){
	$query = "SELECT * FROM `members` WHERE `username`='" . $_POST["username"]  ."' AND `password`='". md5($_POST["password"]) . "'";
 
	$result = mysql_query($query);
 
	if(mysql_num_rows($result) != 0){
		$user = $_POST["username"];
		$password = $_POST["password"];
		$_SESSION['a4o'] = $user;
		$_SESSION['password'] = $password;
 
echo "<table width=\"90%\" cellSpacing=\"0\" cellPadding=\"2\" border=\"1\" bordercolor=\"#000000\" style=\"border-collapse: collapse\" align=\"center\">";
echo "<tr><td class=\"title\"><img src=\"images/button.gif\" border=\"0\" height=\"8\" width=\"8\"> <b>Login</b></td></tr><tr><td class=\"content\">Je bent met succes ingelogd!</td></tr><meta http-equiv=\"refresh\" content=\"1; url=index.php\">";
echo "</table>";
 
	}else{
		echo "<table width=\"90%\" cellSpacing=\"0\" cellPadding=\"2\" border=\"1\" bordercolor=\"#000000\" style=\"border-collapse: collapse\" align=\"center\">";
		echo "<tr><td class=\"title\"><font color=\"BD0000\"><b>Error!</b></font></td></tr><tr><td class=\"content\">Voorkomende redenen:<br>";
			echo "<blockquote>Verkeerde gebruikersnaam of wachtwoord<br>Velden niet ingevuld</blockquote><br>Probeer opnieuw";
			echo "</td></tr></table>";
	}
}else{
?><FORM ACTION="<? $_SERVER["PHP_SELF"] ?>" METHOD="POST"><?
echo "<table width=\"90%\" cellSpacing=\"0\" cellPadding=\"2\" border=\"1\" bordercolor=\"#000000\" style=\"border-collapse: collapse\" align=\"center\">";
echo "<tr><td colspan=\"2\" height=\"10\" class=\"title\"><img src=\"images/$skin/button.gif\" border=\"0\" height=\"8\" width=\"8\"> <b>Gebruiker Login</b></td></tr>";
echo "<tr><td bgcolor=\"$header_color1\" width=\"200\" class=\"content\">Gebruikersnaam:</td>";
echo "<td bgcolor=\"$header_color1\" class=\"content\"><input type=\"text\" name=\"username\" style=\"width: 250px\"></td></tr>";
echo "<tr><td bgcolor=\"$header_color1\" width=\"200\" class=\"content\">Wachtwoord:</td>";
echo "<td bgcolor=\"$header_color1\" class=\"content\"><input type=\"password\" name=\"password\" style=\"width: 250px\"></td></tr>";
echo "<td bgcolor=\"$header_color1\" colspan=\"2\" class=\"content\"><input type=\"submit\" name=\"submit\" value=\"Login\" style=\"width: 100px\"></td></tr>";
echo "</table>";
echo "</form>";
} }
?>

is wat ik heb...
waar en hoe zou ik het veiliger kunnen maken?
(zou voor iedereen mss goed hulp-topic kunnen zijn)

6 antwoorden

Gesponsorde links

gijs - 26/04/2005 15:45
HTML beginner		ik weet niet hoe je de verbinding met je database legt, maar dat is ook niet helemaal veilig als je dat 'er gewoon boven typt'. Die kan je volgens mij het beste includen met een *.php.inc bestand.

legende - 26/04/2005 16:28
Onbekend		Als je het *echt* veilig wilt hebben, moet je ipv sessies een mySQL table gebruiken van wie er ingelogd is enzo.

Steven - 26/04/2005 16:32 (laatste wijziging 26/04/2005 16:33)

HTML interesse

Dit is al wat veiliger, deze code plaats je in login.php.inc

php code - Bekijk de code zonder highlighting - Klap code in

<?php	
function mysql_verbinden(){
	if (@mysql_connect("localhost", "gebruikersnaam", "w8woord") !== false)
		$connect = mysql_select_db("databasenaam");
	else
		$connect = false;
	if (!$connect)
		die("Kan geen verbinding met de database maken, onze excuses.");
}
?>

<?php	
function mysql_verbinden(){
	if (@mysql_connect("localhost", "gebruikersnaam", "w8woord") !== false)
		$connect = mysql_select_db("databasenaam");
	else
		$connect = false;
	if (!$connect)
		die("Kan geen verbinding met de database maken, onze excuses.");
}
?>

en die include je dan op je login pagina:

php code - Bekijk de code zonder highlighting - Klap code in

                <?php include("login.php.inc"); ?>

<?php include("login.php.inc"); ?>

gijs - 26/04/2005 19:14
HTML beginner		@ Steven: zie mijn post hierboven..

Gerard - 26/04/2005 19:21
Ouwe rakker		Het maakt ook echt uit of je een login naar MySQL in een aparte file zet of ergens boven zet..... het is alleen wat handiger. Zolang je maar zorgt dat je alles wat afvangt als je niet wil dat de gebruiker wat te zien krijgt als het niet werkt.

Klopper - 26/04/2005 20:16
HTML interesse		aanvulling op de login.inc.php-methode... Zet dit bestand buiten je publieke html-map. En include dan het bestand via ../login.inc.php . Als php toevallig een keer uitgeschakeld wordt, en of wordt genegeerd door de browser van de lezer, kan die de wachtwoorden eruit halen. En als je hem buiten je publieke html-map hebt staan, zal de 'inbreker' het bestand ook niet kunnen vinden. Ook zal hij geen bestand op de server kunnen plaatsen zodat hij de informatie alsnog kan uitlezen. Het is misschien raar uitgelegd, maar als je het eenmaal snapt, denk je van; tuuuurlijk, klinkt logisch!

Gesponsorde links

Dit onderwerp is gesloten.

Actiefste leden van de maand

Actieve forumberichten