Goed beveiligd inlogsysteem met classen
Een login script dat aardig beveiligd is. Op php hulp heb ik niet van deze beveiligen kunnen vinden bij de scripts, dus ik dacht laat ik die er dan zelf maar opzetten.
Het password wordt gehashed verzonden ( SHA256 ) dus vrijwel onmogelijk om te achterhalen. Verder wordt bruteforcen tegen gegaan d.m.v. een tijdelijk ban system na een x aantal verkeerde inlog pogingen.
En last but not least is het script ook beveiligd tegen session hijacking d.m.v. het bijhouden van ips.
Al deze functies in een aantal classen gegoten, en voila hier staat ie.
Het is geen volledig werkend member systeem, maar wel makkelijk uit te breiden.
De sessies worden in een database bijgehouden.
NB: test.login moet je invullen naar eigen wensen
Veel plezier ermee.
Download links:
Hier
Hier (Mirror)
Gesponsorde koppelingen
PHP script bestanden
36 reacties op 'Goed beveiligd inlogsysteem met classen'
0 
-0 
-0 Ik heb het niet helemaal door genomen, maar het ziet er aardig uit.
Ik heb alleen wel een paar vraagjes/opmerkingen:
Waarom heb je er voor gekozen om je database class abstract te maken terwijl je gewoon alle methods implementeert?
En waarom extend je vervolgens je ander klassen er op die van een ander type zijn?
Ik heb alleen wel een paar vraagjes/opmerkingen:
Waarom heb je er voor gekozen om je database class abstract te maken terwijl je gewoon alle methods implementeert?
En waarom extend je vervolgens je ander klassen er op die van een ander type zijn?
0 -0
-0 Even een principe-kwestie die ik hier verder niet wil bespreken, maar misschien wel eens een topic in de koffiehoek waard is: clsUser is geen clsDatabase, dus naar mijn idee heeft hij niet het recht om die te mogen extenden.
En hij werkt echt niet zonder JS zie ik, dus inloggen vanaf een simpele telefoon of PDA met IE (die doet alsof hij JS aan kan, maar niet verder komt dan document.write) is er echt geen mogelijkheid om in te loggen.
Als ik het goed zie is de sessie alleen verbonden aan het ip-adres van de gebruiker? Dus mensen die via dezelfde proxyserver of gateway (denk aan scholen en bedrijven) delen een sessie?
En hij werkt echt niet zonder JS zie ik, dus inloggen vanaf een simpele telefoon of PDA met IE (die doet alsof hij JS aan kan, maar niet verder komt dan document.write) is er echt geen mogelijkheid om in te loggen.
Als ik het goed zie is de sessie alleen verbonden aan het ip-adres van de gebruiker? Dus mensen die via dezelfde proxyserver of gateway (denk aan scholen en bedrijven) delen een sessie?
0 -0
-0 Ik ben het eens met Jelmer; je manier van extenden klopt niet. De class User moet een Database instantie bevatten, en niet extenden. Ik vind je naamgeving ook wat vreemd. clsUser, clsDatabase. Waarom niet gewoon User en Database ? je methodes noem je ook niet methMethode().
Dan het proxy/sessie verhaal. Ik zou dat oplossen door een hash te maken en die in een cookie te dumpen. Deze hash sla je in de database op, samen met het IP. Als iemand dan je pagina bezoekt met hetzelfde IP, kan diegene toch niet inloggen omdat hij de hash niet in een cookie heeft staan.
Dan het proxy/sessie verhaal. Ik zou dat oplossen door een hash te maken en die in een cookie te dumpen. Deze hash sla je in de database op, samen met het IP. Als iemand dan je pagina bezoekt met hetzelfde IP, kan diegene toch niet inloggen omdat hij de hash niet in een cookie heeft staan.
0 -0
-0 @boaz: die abstracte classe is inderdaad niet nodig, de bedoeling was dat clsDatabase niet geinstantieerd hoeft te worden ( omdat ik toch extend ). Je kan het weghalen, veel nut heeft het ook niet.
@jelmer: Klopt wat je zegt.. Kan je dit dan beter oplossen door een property $db aan de classen die extenden mee te geven en deze te vullen in de constructor?
Wat betreft die ip's, daar had ik zo niet over nagedacht. Ik zal het script wat updaten zodat dit wil mogelijk wordt.
Bedankt voor input
@jelmer: Klopt wat je zegt.. Kan je dit dan beter oplossen door een property $db aan de classen die extenden mee te geven en deze te vullen in de constructor?
Wat betreft die ip's, daar had ik zo niet over nagedacht. Ik zal het script wat updaten zodat dit wil mogelijk wordt.
Bedankt voor input
0 -0
-0 Gewoon een hash van uniqid() of microtime(). Die is echt niet zomaar na te maken... Zeker niet als je die bij iedere pageview vernieuwd (klinkt vermoeiend, maar kost je maar 1 simpele query per pageview van ingelogde gebruiker meer, en je krijgt er een heleboel veiligheid voor terug)
edit: die instantie van de db zou je via de constructor mee kunnen geven, of je kan gaan kijken naar het registery pattern.
edit: die instantie van de db zou je via de constructor mee kunnen geven, of je kan gaan kijken naar het registery pattern.
0 -0
-0 De functie get_logged_in vind ik een erg kromme benaming! Zou er eerder $user->isLogged() van maken, dan spreekt het namelijk ook bijna voorzich dat hij een boolean terug geeft. Dit geld inprinciepe ook voor de rest van de benamingen.
Goed en professioneel opgezet, maar je moet nog wel wat snijden en passen aan je OO talent ;)
Goed en professioneel opgezet, maar je moet nog wel wat snijden en passen aan je OO talent ;)
0 -0
-0 Ik heb die methodes zo benoemd omdat ik het als een soort van property opvat. En dan gebruik is altijd get_property en set_property zeg maar. Ik denk dat ieder zijn eigen manieren daarvoor heeft.
Dank je, wat zou qua OO nog beter kunnen hier? Ik probeer het goed te leren, maar het is vrij lastig..
Dank je, wat zou qua OO nog beter kunnen hier? Ik probeer het goed te leren, maar het is vrij lastig..
0 -0
-0 Het script ziet er aardig uit maar er zitten inderdaad foutjes in.
Zo zou ik test.login niet gebruiken aangezien je dat bestadn gewoon kan downloaden en dus zien wat dat je voor login hebt.
Daarnaast is sha.js niet ook niet zo veilig want .js bestanden mag je ook gewoon downloaden of bekijken in je browser.
Verder is het niet onaardig.
Zo zou ik test.login niet gebruiken aangezien je dat bestadn gewoon kan downloaden en dus zien wat dat je voor login hebt.
Daarnaast is sha.js niet ook niet zo veilig want .js bestanden mag je ook gewoon downloaden of bekijken in je browser.
Verder is het niet onaardig.
0 -0
-0 Ik zie verschillende berichten die aangeven dat het een goed, aardig, redelijk script is, maar wel met enige gebreken. Nu ben ik op zoek naar login script met goede beveiliging etc etc.
Dit script wil ik gebruiken voor een site waar prive gegevens van derden op komen te staan. Wie kan en wil mij helpen aan een dergelijk script.
Ik werk met PHP 5 en MySql 5.0 en rechtstreeks op de server van mijn provider die alles ondersteund.
Iemand die mij hiermee kan helpen en eventueel met de implementatie hiervan op mijn site kan (als die dat wil) een percentage krijgen van de verdiensten van deze site.
Reacties kun je zowel hier sturen als rechtstreeks aan a.heijne@chello.nl
Dit script wil ik gebruiken voor een site waar prive gegevens van derden op komen te staan. Wie kan en wil mij helpen aan een dergelijk script.
Ik werk met PHP 5 en MySql 5.0 en rechtstreeks op de server van mijn provider die alles ondersteund.
Iemand die mij hiermee kan helpen en eventueel met de implementatie hiervan op mijn site kan (als die dat wil) een percentage krijgen van de verdiensten van deze site.
Reacties kun je zowel hier sturen als rechtstreeks aan a.heijne@chello.nl
0 -0
-0 Op de een of andere manier doe ik iets fout...
Heb een database aangemaakt, maar krijg nog steets deze melding Fatal error: Insufficient connection parameters given in /data2/virtualhosts/wsvgkus/public_html/beveiliging/class.clsDatabase.php on line 88
Ben nog beginnend in dit gebeuren, dus sorry als het een makkelijke vraag is die je zo kunt oplossen, maar ik kwam er niet uit met mijn geringde kennis.
Heb een database aangemaakt, maar krijg nog steets deze melding Fatal error: Insufficient connection parameters given in /data2/virtualhosts/wsvgkus/public_html/beveiliging/class.clsDatabase.php on line 88
Ben nog beginnend in dit gebeuren, dus sorry als het een makkelijke vraag is die je zo kunt oplossen, maar ik kwam er niet uit met mijn geringde kennis.
0 -0
-0 Gebruik je toevallig voor je database host=localhost, user=root en password='' (niks)?
Dan is dat je probleem kijk maar:
Je kunt het volgende stukje: || ($this->password == '') weghalen. Let wel op dat dit weer terug zet als je dit script online gaat gebruiken, vaak heb je dan wel een password.
Dan is dat je probleem kijk maar:
Code (php)
1
2
2
// Alles moet wel zijn ingevuld
if ( ($this->host == '') || ($this->user == '') || ($this->password == '') || ($this->database == '') ){
if ( ($this->host == '') || ($this->user == '') || ($this->password == '') || ($this->database == '') ){
Je kunt het volgende stukje: || ($this->password == '') weghalen. Let wel op dat dit weer terug zet als je dit script online gaat gebruiken, vaak heb je dan wel een password.
0 -0
-0 @anthony van zandycke
.... Je moet aan het begin van die login.script eerst neerzetten. Dan sla je hem vervolgens op als een .php bestand.
Als je nu de broncode wil bekijken zul je niks vinden...
Daarom is PHP dus ook een "Server-side HTML embedded scripting language". Dit houdt in dat het gehele script op de host server wordt uitgevoerd. En niet dus zoals JavaScript in de browser.
.... Je moet aan het begin van die login.script eerst
Code (php)
1
<?php en aan het einde moet je ?>
Als je nu de broncode wil bekijken zul je niks vinden...
Daarom is PHP dus ook een "Server-side HTML embedded scripting language". Dit houdt in dat het gehele script op de host server wordt uitgevoerd. En niet dus zoals JavaScript in de browser.
0 -0
-0 ff kijken als ik manual include
werkt niet iemand anders enig idee want dit script wil ik graag gaan testen/gebruiken/aanpassen
kan het misschien liggen aan php versie?
werkt niet iemand anders enig idee want dit script wil ik graag gaan testen/gebruiken/aanpassen
kan het misschien liggen aan php versie?
Code (php)
1
Fatal error: Undefined class name 'clssessionhandler' in /home/vhosts/6thsenseproductions.nl/httpdocs/game/index.php on line 10
0 -0
-0 Enkele opmerkingen:
Je laat op basis van IP adres een sessie opnieuw starten. Dit is niet wenselijk gezien meerdere mensen hetzelfde IP adres kunnen hebben (als ze achter dezelfde router/proxy zitten).
Je kunt de sessie beter beveiligen tegen 'session hijacking' door het IP adres op te slaan in (bijv.) $_SESSION['user_ip']. Het 'IP adres' dat de sessie start wordt gekoppeld aan de sessie. Als de sessie spontaan vanaf een ander IP adres wordt gevraagt, weet je dat de sessie 'gestolen' is. (Niet fullproof, maar beter dan niets?)
Je laat op basis van IP adres een sessie opnieuw starten. Dit is niet wenselijk gezien meerdere mensen hetzelfde IP adres kunnen hebben (als ze achter dezelfde router/proxy zitten).
Je kunt de sessie beter beveiligen tegen 'session hijacking' door het IP adres op te slaan in (bijv.) $_SESSION['user_ip']. Het 'IP adres' dat de sessie start wordt gekoppeld aan de sessie. Als de sessie spontaan vanaf een ander IP adres wordt gevraagt, weet je dat de sessie 'gestolen' is. (Niet fullproof, maar beter dan niets?)
Om te reageren heb je een account nodig en je moet ingelogd zijn.
- Details
Door:
Stien ss- 7 jaar geleden
- 2.790 x bekeken
- PHP scripts opties
- Beveiliging
- Nieuwste PHP scripts
- PHP script toevoegen
PHP hulp
0 seconden vanaf nu