Ik heb een site, ik heb er een brak inlog systeem achter zitten. Wat doe ik nu?
1. Ik heb een tabel met een gebruiker, wachtwoord (md5) en type (admin of gebruiker)
2. Persoon logt in met juiste wachtwoord/gebruikersnaam
3. Een sessie en of cookie wordt aangemaakt met gebruiker is admin of gebruiker is gebruiker. $_SESSION['type']
4. Nu check ik bij pagina's waar alleen gebruikers mogen komen of er een sessie of cookie is met $_SESSION['type'] en of daar instaat of hij admin of gebruiker is.
Dit is natuurlijk zeer onveilig (maakt ook niet super veel uit, want zoveel bijzonders is er niet). Alleen ik wil het toch ietsjes beter regelen.
Mijn vraag:
Ik wil het bovenstaande eens goed overdoen. Waar moet ik rekening mee houden als ik een redelijke beveiligde website wil hebben (ik zeg redelijk, het is namelijk geen bank waar men geldzaken afhandeld).
Ik heb het 1 en ander gelezen over Session hijacking en dat wil ik dus voorkomen.
Dus, welke stappen moet ik doorlopen om tot een redelijke beveiliging te komen. Dit zou ik dan graag willen horen in woorden (code mag ook als je ijverig ben), bijv.
1: tabel met gebruikersnaam en wachtwoord waar wachtwoord een md5 wachtwoord is
2. sessie aanmaken en opslaan in een database tabel
3. etc....
4. etc....
Dan kom ik bij mijn volgende vraag. Ik las ook het 1 en ander over sessies opslaan in een database tabel. hoe gaat dit in zijn werk. Hoe kan ik dit het beste aanpakken, en waar moet ik op letten. Hoe ga je overweg met sessies opslaan in een database als je ook cookies gebruik. Wat stop ik in zo'n sessie en wanneer kan ik hem weggooien en hoe weet ik dat ik de sessie kan weggooien.
Zoals je begrijp ben ik nog steeds een beginner, maar ik wil graag begrijpen hoe een redelijk beveiligde website in elkaar zit, ZONDER simpelweg een standaard scriptje te gebruiken, ik wil het graag zelf maken en leren. Ik begrijp ook dat dit een hoop vragen zijn achter elkaar, ik heb gewoon even getypt wat in mij op kwam.
1.687 views