login  Naam:   Wachtwoord: 
Registreer je!
 Forum

Veiligheid: sessions

Offline Frederic - 21/06/2005 22:07
Avatar van FredericPHP ver gevorderde Is het eigenlijk veilig als ik op mijn hele site via de waardes in sessions alles controleer
-$_SESSION['gid'] zoeken in de database
-Kijken wat de rang is van dat ID
-zo rechten uitdelen

Of is dit totaal onveilig?

7 antwoorden

Gesponsorde links
Offline Scott - 21/06/2005 22:09
Avatar van Scott Gouden medaille

PHP ver gevorderde		 Nee, is wel veilig hoor. De users kunnen geen sessies veranderen, alleen het sessie id. En als die toevallig van een admin of mod ofzo is, kan hij op die manier ingelogd worden als die admin of mod, maar die kans is net zo groot als dat je md5 kraakt ;)
Offline Frederic - 21/06/2005 22:10
Avatar van Frederic PHP ver gevorderde Euhm maar in $_SESSION['id'] zit gewoon bvb 245 he?
En dan zoek ik in de ledentabel naar record met id 245, en kijk dan welke rang die heeft!
Offline nemesiskoen - 21/06/2005 22:11
Avatar van nemesiskoen Gouden medaille

PHP expert		 het sessie id wordt opgeslagen in een cookie
cookie aanpassen en BAF je zit binnen...

nu niet zo snel als ik dit hier type. Maar toch, je zou beter pass & naam opslagen in cookie en controleren via functie (en dan if( is_ingelogd() ) { verder gaan }... is_ingelogd is dan een booleaanse functie).
Offline Frederic - 21/06/2005 22:14
Avatar van Frederic PHP ver gevorderde Dit is mijn sessie script:
Veilig genoeg?
php code - Bekijk de code zonder highlighting - Klap code in 
  1. <?php
  3. if(!isset($_SESSION['gebruiker']) && isset($_COOKIE['gebruikersnaam']) && isset($_COOKIE['wachtwoord'])) {
  4. 	$zoek = mysql_query("SELECT * FROM leden WHERE gebruikersnaam='".$_COOKIE['gebruikersnaam']."' AND wachtwoord='".$_COOKIE['wachtwoord']."'");
  5. 	if(mysql_num_rows($zoek) > 0) {
  6. 		while($geg = mysql_fetch_assoc($zoek)) {
  8. 			$_SESSION['gebruiker'] = $geg['gebruikersnaam'];
  9. 			$_SESSION['gid']		= $geg['id'];
  10. 			header("Location: ".$_SERVER['REQUEST_URI']);
  11. 		}
  12. 	} else {
  14. 		$_SESSION = array();
  16.  
  17. 		// cookies deleten
  18. 		if(isset($_COOKIE['gebruikersnaam'])) {
  19.   			setcookie("gebruikersnaam", "", time(), "/");
  20. 		}
  21. 		if(isset($_COOKIE['wachtwoord'])) {
  22.   			setcookie("gebruikersnaam", "", time(), "/");
  23. 		}
  24. 	}
  25. }
  26. ?>
Offline Bart - 21/06/2005 22:37
Avatar van Bart PHP expert Ja dit is veilig genoeg ;)
Offline Legolas - 22/06/2005 08:26 (laatste wijziging 22/06/2005 08:28)
Avatar van Legolas Onbekend
Citaat:
Dit is mijn sessie script:
Veilig genoeg?
[..code..]

Eej ik wil niet veel zeggen hoor maar dat is niet jouw inlogscript maar dat van Murfy, dacht ik... zie scripts->php->ledensystemen->uitgebreid ledensysteem oid...:D
alleen hoef je geen while te doen:p
edit: http://www.site...amp;id=450
Offline Frederic - 22/06/2005 10:38
Avatar van Frederic PHP ver gevorderde Weet ik hoor... Maar dit is MIJN sessie.php slaat erop dat ik die gebruik... Dus het is veilig bevonden? Jeuhj! 
Gesponsorde links
Dit onderwerp is gesloten.
Actieve forumberichten
© 2002-2024 Sitemasters.be - Regels - Laadtijd: 0.206s