Sessie login
Ik gebruik dit om te controleren of iemand is ingelogd, dit klopt allemaal.
Maar, zodra iemand opnieuw inlogt krijg je altijd de zelfde "unieke" string per gebruiker.
Is dit veilig of moet ik er nog iets anders instoppen?
Code (php)
1
2
3
4
5
2
3
4
5
<?php
$ses_c = md5(salt(sha1(($_SESSION['naam'])." ".($_SESSION['status'])." ".($_SESSION['email']))));
$sql = mysql_query("SELECT unaam FROM users WHERE unaam = '".$_SESSION['naam']."' AND email = '".$_SESSION['email']."' AND ses_c = '".$ses_c."'");
?>
$ses_c = md5(salt(sha1(($_SESSION['naam'])." ".($_SESSION['status'])." ".($_SESSION['email']))));
$sql = mysql_query("SELECT unaam FROM users WHERE unaam = '".$_SESSION['naam']."' AND email = '".$_SESSION['email']."' AND ses_c = '".$ses_c."'");
?>
Gesponsorde koppelingen:
Die ses_c krijg ik via die hash.
De hash maakt hij van naam status en email. --> ses_c..
Nu kijkt die of al die 3 gegevens kloppen dan hasht die hem en controleert dat weer?
Toevoeging op 22/03/2011 17:36:43:
Hoe bedoel je sander?
Toevoeging op 22/03/2011 17:38:51:
BTW dit is als controle.php de login stap is al gemaakt.
Ocirina - op 22/03/2011 17:35:55:
Nou, ik sla iets op in de db (ses_c).
Die ses_c krijg ik via die hash.
De hash maakt hij van naam status en email. --> ses_c..
Nu kijkt die of al die 3 gegevens kloppen dan hasht die hem en controleert dat weer?
Toevoeging op 22/03/2011 17:36:43:
Hoe bedoel je sander?
Toevoeging op 22/03/2011 17:38:51:
BTW dit is als controle.php de login stap is al gemaakt.
Die ses_c krijg ik via die hash.
De hash maakt hij van naam status en email. --> ses_c..
Nu kijkt die of al die 3 gegevens kloppen dan hasht die hem en controleert dat weer?
Toevoeging op 22/03/2011 17:36:43:
Hoe bedoel je sander?
Toevoeging op 22/03/2011 17:38:51:
BTW dit is als controle.php de login stap is al gemaakt.
Nou, je slaat je wachtwoord waarschijnlijk bij het registreren op in je database.
Laten we even zeggen dat je wachtwoord de volgende string is: 1299asjI8.
Als je iedere keer bij het inloggen een andere string genereert (uniek dus), kan dat nooit overeen komen met 1299asjI8, en word je niet ingelogd.
Dan neem je de user status en email (mischien datum) dan hash --> naar de db.
Nja.. ik weet niet hoe ik dit eigenlijk moet uitleggen. Hoe controleren jullie dit?
Op iedere pagina controleer je dan of de sessie bestaat, en of de gebruiker online is. Als dat zo is update je de tijd bij online in je database en laat je de bezoeker lekker zijn gang gaan. Als de tijd in de database bij de gebruiker meer dan 5 minuten verschilt met de tijd nu, verwijder je de sessie en laat je hem opnieuw inloggen.
Jou methode is dus nogal omslachtig, en onnodig.
Gewijzigd op 22/03/2011 17:50:13 door Sander de Vos
Want, ik doe iedere maal een controle, maar als dit niet nodig is doe ik:
$_session['status'] == 'admin' $_session['naam'] == 'ocirina'
Dat kan dus niet nee.
Roel van de Water op 22/03/2011 18:48:10:
Dat zou een mooie boel zijn als je sessies kon veranderen.
Dat kan dus niet nee.
Dat kan dus niet nee.
Ben je 100% zeker? Ik heb toch links en rechts gehoord dat dat zou kunnen..
Mischien ben ik dan wel dom?:p ik snap wel dat je 1.2.3. niet een sessie kunt editen.
Toevoeging op 22/03/2011 18:57:20:
Maar onmogelijk?
Ocirina - op 22/03/2011 18:55:43:
Ja, inderdaad door een of andere master hacker?:P
Mischien ben ik dan wel dom?:p ik snap wel dat je 1.2.3. niet een sessie kunt editen.
Toevoeging op 22/03/2011 18:57:20:
Maar onmogelijk?
Mischien ben ik dan wel dom?:p ik snap wel dat je 1.2.3. niet een sessie kunt editen.
Toevoeging op 22/03/2011 18:57:20:
Maar onmogelijk?
Het is wél mogelijk, maar erg moeilijk. Heb ik ooit in een artikel gelezen, maar weet allang niet meer waar.
Trouwens, status zou ik alsnog niet in een sessie zetten, maar in de database.
Ik heb namelijk ook gehoord dat je met een programma sessies van andere bezoekers kan overnemen of zo iets. Het kan een fabeltje zijn, maar gewoon een extra veiligheidje.
Mark de Wit op 22/03/2011 19:52:09:
Ik gebruik zelf ook altijd zoiets. Ik heb een tabel voor gebruikers (gebruikersnaam en wachtwoord) en een tabel die ik 'sessies_inloggen' noem. Na (tijdens) het inloggen plaats ik in deze 'sessies_inloggen' een rij met gebruikersnaam en IP. Vervolgens kijk ik op elke pagina die wordt geopend na of het een geldige sessie is bij dit IP via de database.
Ik heb namelijk ook gehoord dat je met een programma sessies van andere bezoekers kan overnemen of zo iets. Het kan een fabeltje zijn, maar gewoon een extra veiligheidje.
Ik heb namelijk ook gehoord dat je met een programma sessies van andere bezoekers kan overnemen of zo iets. Het kan een fabeltje zijn, maar gewoon een extra veiligheidje.
Leuk als je een statisch ip-adres hebt :)
