authenticatie

Door Pim op 05-08-2007 10:13

5.245 views

Hallo,

als beginner ben ik wat aan het stoeien met de beveiliging van website.

Ik heb een heel eenvoudig scriptje bijgevoegd (authenticatie1.inc.php) die via een require_once() wordt aangeroepen in een testscriptje (testaut.php).

In mijn studieboek ben ik ondertussen veel verder, dus ik weet dat het authenticatie script veel beter en uitgebreider kan, maar dat maakt voor mijn onderstaande vraag niets uit, want daar loop ik ook bij uitgebreidere scripts tegen aan.

Mijn vraag:
- stel je voert in het invulfomulier (authenticatie1.inc.php) een juiste naam + wachtwoord in, dan moet het scriptje verder lopen en de echo uitspugen ‘Je bent ingelogd’, maar dat gebeurt niet. Ik begrijp niet waarom dat niet gebeurd. ;
- ik zou zeggen dat het misgaat in het autheticatie1.inc.php in de regels 19-21. Ik zou zeggen dat er daar nog een terugverwijzing moet plaatsvinden van het autheticatiescript naar het testauthscript? Of gaat het ergens anders mis?

Kan het soms ook zijn dat het aan de instellingen van php.ini ligt wat betreft de opslag van cookies en session-variabelen? Voor de zekerheid post ik ook een stukje van de php.ini.

Wie zou me willen helpen?
Alvast bedankt, Pim

authenticatie1.inc.php


<?php
session_start();
function controle($naam, $wachtwoord) {
	if ($naam !="Pim" || $wachtwoord !=md5("pass100"))	{
		return false;
	} else {
		return true;
	}
}

//check naam en wachtwoord
if (isset($_POST["verzonden"]) && controle($_POST["naam"], md5($_POST["wachtwoord"]))==true) {
//naam en wachtwoord zijn beiden correct
	$_SESSION['naam'] = $naam;
	$_SESSION['wachtwoord'] = $md5($wachtwoord);
	}

if (controle($_SESSION['naam'],$_SESSION['$wachtwoord'])==false) {
//naam en/of wachtwoord is fout
	echo "<form method=\"post\" action=\"$PHP_SELF\">\n";
	echo "Naam: ";
	echo "<input type=\"text\" name=\"naam\">";
	echo "<br>";
	echo "Wachtwoord: ";
	echo "<input type=\"password\" name=\"wachtwoord\">";
	echo "<br>";
	echo "<input type=\"submit\" value=\"verzenden\" name=\"verzonden\">";
	echo "</form>";
	exit;
}
?>

testauth1.php


<?php
require_once('authenticatie1.inc.php');
echo 'je bent ingelogd';
?>

stukje php.ini


[Session]
; Handler used to store/retrieve data.
session.save_handler = files

; Argument passed to save_handler.  In the case of files, this is the path
; where data files are stored. Note: Windows users have to change this
; variable in order to use PHP's session functions.
;
; As of PHP 4.0.1, you can define the path as:
;
;     session.save_path = "N;/path"
;
; where N is an integer.  Instead of storing all the session files in
; /path, what this will do is use subdirectories N-levels deep, and
; store the session data in those directories.  This is useful if you
; or your OS have problems with lots of files in one directory, and is
; a more efficient layout for servers that handle lots of sessions.
;
; NOTE 1: PHP will not create this directory structure automatically.
;         You can use the script in the ext/session dir for that purpose.
; NOTE 2: See the section on garbage collection below if you choose to
;         use subdirectories for session storage
;
; The file storage module creates files using mode 600 by default.
; You can change that by using
;
;     session.save_path = "N;MODE;/path"
;
; where MODE is the octal representation of the mode. Note that this
; does not overwrite the process's umask.
;session.save_path = "/tmp"

; Whether to use cookies.
session.use_cookies = 1

;session.cookie_secure =

; This option enables administrators to make their users invulnerable to
; attacks which involve passing session ids in URLs; defaults to 0.
; session.use_only_cookies = 1

; Name of the session (used as cookie name).
session.name = PHPSESSID

; Initialize session on request startup.
session.auto_start = 0

; Lifetime in seconds of cookie or, if 0, until browser is restarted.
session.cookie_lifetime = 0

; The path for which the cookie is valid.
session.cookie_path = /

; The domain for which the cookie is valid.
session.cookie_domain =

; Whether or not to add the httpOnly flag to the cookie, which makes it inaccessible to browser scripting languages such as JavaScript.
session.cookie_httponly = 

; Handler used to serialize data.  php is the standard serializer of PHP.
session.serialize_handler = php

; Define the probability that the 'garbage collection' process is started
; on every session initialization.
; The probability is calculated by using gc_probability/gc_divisor,
; e.g. 1/100 means there is a 1% chance that the GC process starts
; on each request.

session.gc_probability = 1
session.gc_divisor     = 1000

; After this number of seconds, stored data will be seen as 'garbage' and
; cleaned up by the garbage collection process.
session.gc_maxlifetime = 1440

; NOTE: If you are using the subdirectory option for storing session files
;       (see session.save_path above), then garbage collection does *not*
;       happen automatically.  You will need to do your own garbage
;       collection through a shell script, cron entry, or some other method.
;       For example, the following script would is the equivalent of
;       setting session.gc_maxlifetime to 1440 (1440 seconds = 24 minutes):
;          cd /path/to/sessions; find -cmin +24 | xargs rm

; PHP 4.2 and less have an undocumented feature/bug that allows you to
; to initialize a session variable in the global scope, albeit register_globals
; is disabled.  PHP 4.3 and later will warn you, if this feature is used.
; You can disable the feature and the warning separately. At this time,
; the warning is only displayed, if bug_compat_42 is enabled.

session.bug_compat_42 = 0
session.bug_compat_warn = 1

; Check HTTP Referer to invalidate externally stored URLs containing ids.
; HTTP_REFERER has to contain this substring for the session to be
; considered as valid.
session.referer_check =

; How many bytes to read from the file.
session.entropy_length = 0

; Specified here to create the session id.
session.entropy_file =

;session.entropy_length = 16

;session.entropy_file = /dev/urandom

; Set to {nocache,private,public,} to determine HTTP caching aspects
; or leave this empty to avoid sending anti-caching headers.
session.cache_limiter = nocache

; Document expires after n minutes.
session.cache_expire = 180

; trans sid support is disabled by default.
; Use of trans sid may risk your users security.
; Use this option with caution.
; - User may send URL contains active session ID
;   to other person via. email/irc/etc.
; - URL that contains active session ID may be stored
;   in publically accessible computer.
; - User may access your site with the same session ID
;   always using URL stored in browser's history or bookmarks.
session.use_trans_sid = 0

; Select a hash function
; 0: MD5   (128 bits)
; 1: SHA-1 (160 bits)
session.hash_function = 0

; Define how many bits are stored in each character when converting
; the binary hash data to something readable.
;
; 4 bits: 0-9, a-f
; 5 bits: 0-9, a-v
; 6 bits: 0-9, a-z, A-Z, "-", ","
session.hash_bits_per_character = 5

; The URL rewriter will look for URLs in a defined set of HTML tags.
; form/fieldset are special; if you include them here, the rewriter will
; add a hidden <input> field with the info which is otherwise appended
; to URLs.  If you want XHTML conformity, remove the form entry.
; Note that all valid entries require a "=", even if no value follows.
url_rewriter.tags = "a=href,area=href,frame=src,input=src,form=fakeentry"

Pim

05-08-2007 19:33

wat betreft de error-reporting: de volgende 3 fouten verschijnen.

Global variable $naam was used before it was defined (line 14)
Global variable $wachtwoord was used before it was defined (line 15)
Global variable $SERVER was used before it was defined (line 21)

Moet ik die variabelen dan eerst als volgt benoemen?

San The vraagt waar in regel 14/15 de $naam en $wachtwoord vandaan komen? Ik neem aan dat je bedoelt dat die eigenlijk eerst zou moeten worden gedefiniëerd, met zo iets als:
$naam='Pim';
$wachtwoord='pass120';
, maar ik ging ervan uit dat de auteur het voldoende vond dat ze in regel 4 (function) zijn ondergebracht (of dat ze in een apart aanmeldscript zouden staan (maar dat staat niet in het boekje erbij vermeld)).

@Arjan,
tja, da's natuurlijk wel een heel mooi alternatief script, en zoals het er staat kan ik het ook nog wel volgen, maar 't is nog wel moeilijk voor mij.
Waarom gebruik je trouwens in zo'n goed script de md5 coderingsmethode niet?

Jelmer -

05-08-2007 19:42

Lange antwoord:
Je zou in plaats van $naam en $wachtwoord (r. 14 & 15) $_POST['naam'] en $_POST['wachtwoord'] moeten gebruiken. In oudere versies van PHP was het normaal dat waneer je een script aanriep middels bijvoorbeeld script.php?naam=jelmer binnen het script $naam automatisch de waarde jelmer kreeg. register_globals heette dat, en je zal het (helaas) in veel scripts nog gebruikt zien worden. Maar dat is er sinds versie 5 dus officieel uit, al kan je het nog wel aan zetten.

Nu moet je daadwerkelijk zeggen waar de variabele vandaan komt. De waarden van een formulier dat method post gebruikt zullen dus in de array $_POST komen, en method get (en dat voorbeeldje dat ik net gaf met script.php) vult $_GET. $_POST en $_GET kan je overal gebruiken binnen het script.

Korte antwoord:
Regel 14 & 15 moeten worden:


<?php
    $_SESSION['naam'] = $_POST['naam'];
    $_SESSION['wachtwoord'] = md5($_POST['wachtwoord']);
?>

Frank -

05-08-2007 19:43

Waarom zou je md5() gebruiken? Er is niemand die het php-script kan openen/downloaden en dus kan niemand het wachtwoord inzien.

Mocht iemand toch ftp-toegang hebben gekregen, dan heeft beveiliging dusdanig gekraakt dat een md5 ook niet meer uitmaakt.

Wanneer je wachtwoorden in een database wilt opslaan, dan sla je alleen de hash (md5 of sha1) op. In dat geval heeft dat toegevoegde waarde, je kunt honderden tot duizenden gebruikers hebben, maar voor een handjevol hardcoded users heeft een hash geen toegevoegde waarde.

Pim

05-08-2007 21:27

Allemaal heel erg bedankt voor jullie duidelijke uitleg, tips en opmerkingen. Dankzij jullie vandaag veel geleerd!!
groet, Pim

Pim

05-08-2007 23:48

Intussen heb ik alle voorgestelde wijzigingen doorgevoerd in het authenticatie scriptje, ziet het er als onderstaand uit, maar doet zich een ander issue voor dat ik niet nog niet zo goed begrijp.

De foutmelding dat in de regels 14 en 15 undefined variables (naam en wachtwoord) voorkomen is weg, maar nu levert debuggen de opmerking op dat in regel 20 naam en wachtwoord als undefined index voorkomen.

Wat is in dit verband een index en hoe zorg ik ervoor dat die dan defined worden. Verder werkt het script wel. dus ik vraag me af, pas ik dit nu aan om geheel foutloze code te krijgen, of nuttigt deze aanpassing een doel?

Dat geldt ook voor de foutmelding dat in regel 23 Server voorkomt als undefined variabel.

groetjes, Pim

[code]
<?php
ini_set('display_errors', 1); //error reporting
error_reporting(E_ALL | E_STRICT);

session_start();
function controle($naam, $wachtwoord) {
if ($naam !="Pim" || $wachtwoord !=md5("pass100")) {
return false;
} else {
return true;
}
}

//check naam en wachtwoord
if (isset($_POST["verzonden"]) && controle($_POST["naam"], md5($_POST["wachtwoord"]))==true) {
$_SESSION['naam'] = $_POST['naam'];
$_SESSION['wachtwoord'] = md5($_POST['wachtwoord']);
}

elseif (controle($_SESSION['naam'],$_SESSION['wachtwoord'])==false) {
//naam en/of wachtwoord is fout
// echo "<form method=\"post\" action=\"$PHP_SELF\">\n";
echo '<form method="post" action="' . $SERVER['PHP_SELF'] . '">' . "\n";
echo "Naam: ";
echo "<input type=\"text\" name=\"naam\">";
echo "<br>";
echo "Wachtwoord: ";
echo "<input type=\"password\" name=\"wachtwoord\">";
echo "<br>";
echo "<input type=\"submit\" value=\"verzenden\" name=\"verzonden\">";
echo "</form>";
exit;
}
?>
[\code]

Crispijn -

05-08-2007 23:52

Nooit een naam (gebruikersnaam) en wachtwoord in een sessie zetten toch? ook al is dit md5 geencrypt?

Het is naar mijn idee ook informatie die totaal niet nodig is in een sessie. Je kan beter op de pagina's waar je dit nodig denkt te hebben (bijvoorbeeld bij het aanpassen van je wachtwoord) gewoon dit wachtwoord weer even opnieuw uit de database halen en dan vergelijken.

Gewoon even een tip!

Groeten!

Wouter K

06-08-2007 00:00

@pim :
jij hebt percies een zwaarder boek dan mij
http://www.phphulp.nl/php/boeken/61/

Stonden ook kleine hele kleine foutjes in :p

Verder kan ik je niet echt helpen tenzij ik het code even overtyp op kopieer van de site..

mvg

Pim

06-08-2007 00:15

Hoi Wouter,

in alle 15 studieboeken (HTML, CSS, PHP, Javascript, Flash, etc) die ik heb, blijken foutjes te staan en/of code die achterhaalt is, voorbeelden die incompleet zijn, of die verkeerd uit een andertalig boek zijn overgenomen of zijn vertaald.

Met het kopen heb ik goed opgelet, echt actuele boeken gekocht, maar de meesten, zo niet allemaal, zijn niet foutloos. Sommigen zijn echt slecht, anderen veel beter, zoals het boek wat ik nu bestudeer.

Het boekje is een soort cursus, en bevalt eigenlijk prima.

Verder gebruik ik (tevreden) 'Het complet handboek PHP5 & MySQL van Academic Service, maar da's meer een heel dik naslagwerk. Ook niet gek is het boek 'Dynamische websites met PHP'van Easy Computing, ook meer een naslagwerk, daarin wordt goed uitleg gegeven.

Welterusten, Pim

- SanThe -

06-08-2007 00:31

Als de if() van regel 15 niet waar is kom je bij de elseif() van regel 20. Daar gebruik je onder andere $_SESSION['naam']. Maar als 'naam' nog niet in de session zit is ie dus 'undefined'. Dat zal je dus eerst moeten checken met [php]isset()[/php].

Regel 23 is gewoon een typfout. $SERVER['PHP_SELF'] moet zijn: $_SERVER['PHP_SELF'] (met underscore).

Edit: Typo.

Pim

06-08-2007 12:27

@SanThe,
ik snap dat ik met isset moet controleren of $_SESSION['naam'] en $_SESSION['wachtwoord'] bestaan.

Ik heb al vele pogingen ondernomen om deze controle in te bouwen, maar ik weet niet precies hoe.

Kan/moet deze isset-check nu samen in 1 regel met 'elseif (controle($_SESSION['naam'],$_SESSION['wachtwoord'])==false)
of moet het in 2 stappen.

Zelf heb ik onderstaande bedacht (afwikkeling in 1 regel), dat geeft een foutloze debugging (ik ff blij), alleen krijg ik dan nooit een inlogscherm te zien, maar ben je altijd automatisch ingelogd (niet meer blij).

Kun je me nog eens op weg helpen. Ik begrijp kennelijk de logica onvoldoende. Die leer ik kennelijk niet uit de boeken, maar van vele uren proberen.

groet, Pim


<?php
ini_set('display_errors', 1); //error reporting
error_reporting(E_ALL | E_STRICT);

session_start();
function controle($naam, $wachtwoord) {
	if ($naam !="Pim" || $wachtwoord !=md5("pass102"))	{
		return false;
	} else {
		return true;
	}
}

//check naam en wachtwoord
if (isset($_POST["verzonden"]) && controle($_POST["naam"], md5($_POST["wachtwoord"]))==true) {
    $_SESSION['naam'] = $_POST['naam'];
    $_SESSION['wachtwoord'] = md5($_POST['wachtwoord']);	
	}

elseif (controle($_SESSION['naam'],$_SESSION['wachtwoord'])==false) {
//naam en/of wachtwoord is fout
//  echo "<form method=\"post\" action=\"$PHP_SELF\">\n";
	echo '<form method="post" action="' . $_SERVER['PHP_SELF'] . '">' . "\n";
	echo "Naam: ";
	echo "<input type=\"text\" name=\"naam\">";
	echo "<br>";
	echo "Wachtwoord: ";
	echo "<input type=\"password\" name=\"wachtwoord\">";
	echo "<br>";
	echo "<input type=\"submit\" value=\"verzenden\" name=\"verzonden\">";
	echo "</form>";
	exit;
}
?>

Reageren

Inloggen om te reageren