PHPhulp.nl
35k+ leden Over PHPhulp Offerte opdracht Contact
d

beveiligings class veilig genoeg?

Door dennis op 20-07-2009 00:40
1.525 views
beste PHP hulpers,

ik heb een beveiligings class gebouwd die ik universeel wil gaan gebruiken binnen mijn projecten. mijn vraag aan jullie kunnen jullie hem is bekijken en mij wijzen op fouten/lekken in de beveiliging en wellicht tips geven.

aub geen commentaar geven op het mogelijk onjuist gebruik van OOP maar dit is mijn manier van OOP gebruiken en ik vind hem zo fijn.

het script
class.auth.php
<?php
//class.auth.php
//last modified 19/07/2009
//version 1.0

class authorization {

public $minlvl = null;
public $error = null;
private $db = null;

function __construct($minlvl = '0')
{
$this->minlvl = $minlvl;
$this->db = new database();
$this->login_check();
}

//login_check, checks if user has acces to the current page
protected function login_check()
{
if (($_SERVER['REQUEST_URI'] == "/login/") or ($this->minlvl == "0")){
return false;
}

if ($_SESSION['adminlvl'] < $this->minlvl){
$this->logout();
}

if($_SESSION['fingerprint'] == hash("sha512",$_SERVER['REMOTE_ADDR'].$_SERVER['HTTP_USER_AGENT'].$_SERVER['HTTP_ACCEPT_LANGUAGE'].$_SERVER['HTTP_ACCEPT_ENCODING'].$_SERVER['DOCUMENT_ROOT']."authorized")){
return true;
} else {
$this->logout();
}
}

//login, verify the user's credentials and give him/her acces
protected function login($username = '',$password = '',$redirect = '')
{

if((!empty($username)) && (!empty($password)) && ($_SERVER['HTTP_HOST'] == HTTP_HOST) && ($_SERVER['SCRIPT_NAME'] == '/login.php'))
{
$password = hash("sha512",SALTKEY.$password);
$query = $this->db->query("SELECT user_id,adminlvl,ipadres FROM users WHERE username = '".$username."' AND password = '".$password."'");

if($this->db->num_rows($query) != 1)
{
$this->error = "Verkeerde username of password";
return false;
}
else
{
$rec = $this->db->fetch_assoc($query);

$_SESSION['user_id'] = $rec['userid'];
$_SESSION['adminlvl'] = $rec['adminlvl'];
$_SESSION['username'] = $username;
$_SESSION['lastip'] = $rec['ipadres'];
$_SESSION['fingerprint'] = hash("sha512",$_SERVER['REMOTE_ADDR'].$_SERVER['HTTP_USER_AGENT'].$_SERVER['HTTP_ACCEPT_LANGUAGE'].$_SERVER['HTTP_ACCEPT_ENCODING'].$_SERVER['DOCUMENT_ROOT']."authorized");

if(!empty($redirect))
{
header("Location: ".$redirect);
}
else
{
if(SSL == "1")
{
header("Location: https://".HTTP_HOST."/";);
}
else
{
header("Location: http://".HTTP_HOST."/";);
}
}

return true;
}
}
else
{
$this->error = "Aanmelden mislukt";
return false;
}
}

//logout, safely destroy the acces token and redirect the user to the login form
public function logout()
{
unset($_SESSION);
session_destroy();
header('Location:/login/');
exit();
}
}

$auth = new authorization();
?>
D
Deze site laat je geen account deleten
20-07-2009 01:38
Je zet $username in een query zonder mysql_real_escape_string aan te roepen. Verder vind ik persoonlijk sha512 een beetje te overdreven :), dat je niet de standaard sha1 of md5 gebruikt is mooi, maar bij mij is de max toch wel sha256, die wordt de komende jaren echt nog niet binnen bruikbare tijd gekraakt. Verder heb ik er niks op aan te merken.

sha256 is ook aanzienlijk sneller dan 512 trouwens: http://nl.php.net/manual/en/function.hash.php kijk eerste comment
d
dennis
20-07-2009 01:52
@ teuneboon,

ik gebruik geen mysql_real_escape_string, omdat ik niet altijd mysql gebruik.
Dit systeem moet met meerdere SQL databases kunnen werken dus afhankelijk van welke database class jij inlaad (pgsql,mysql,mssql). Alle beveiliging omtrent de database worden uitgevoerd in de database class waar een query dus BV: door mysql_real_escape_string gaat. (in de mysql versie van de database class dan).
TJVB tvb
20-07-2009 09:23
Hoe ga je een volledige query door een escape functie halen? En waarom gebruik je dan geen pdo? Dan hoef je niet je eigen database classes te schrijven.
d
dennis
20-07-2009 12:14
@teuneboon & TJVB,

ik heb gevraagd om de veiligheid van de login class te bespreken, niet over de de verwerking van de query's die wordt veilig afgehandeld door mijn intelligente database class die uitleest waar de user input zich bevind.

mensen graag bekritiseren over de veiligheid van het login systeem en eventuele tips, verbeteringen.
Erik Rijk
20-07-2009 12:20
Hoi Dennis,

Je vraagt mensen naar de beveiliging.
Wij kunnen niet zien wat jou database class doet. Ik vind het dus geen rare vraag waarom mensen zich afvragen waarom je geen foutafhandeling in je query toepast, dat kan je nergens terug vinden.

Misschien handig om dat deel er dus even bij te plaatsen, dan is het voor iedereen duidelijk! :)

Reageren

Inloggen om te reageren