PHPhulp.nl PHPhulp.nl
35k+ leden Over PHPhulp Offerte opdracht Contact
S

Veiligheid login script

Door Sjors Anoniem op 23-06-2010 16:29 gewijzigd op 23-06-2010 16:30
2.176 views
Goedenmiddag,

Op mijn site heb ik zo af en toe last van hackers.
Ik heb het vermoeden dat het login script niet optimaal werkt en er een 'lek' inzit.

Zouden jullie mijn script kunnen beoordelen?

if(isset($_POST['login'],$_POST['password'])) {

		$gebruikersnaam = mysql_real_escape_string($_POST['login']);
		$dbres = mysql_query("SELECT *,UNIX_TIMESTAMP(`online`) AS `online` FROM `users` WHERE `login`='$gebruikersnaam'");
		$data  = mysql_fetch_object($dbres);

		if($data->wachtwoord != mysql_real_escape_string(MD5($_POST['password']))){ 
		unset($data);
	}
}
A
Arjan -
23-06-2010 16:33
Uit de gegeven code kan ik weinig oneffenheden ontdekken, maar toch even enkele aanpassingen (zal niet de oorzaak zijn):


if(isset($_POST['login'],$_POST['password'])) {

        $gebruikersnaam = mysql_real_escape_string($_POST['login']);
        $dbres = mysql_query("SELECT *,UNIX_TIMESTAMP(online) AS online FROM users WHERE login='".$gebruikersnaam."''");
        $data  = mysql_fetch_object($dbres);

        if($data->wachtwoord !== md5($_POST['password'])){ 
        unset($data);
    }
}
-
- Mark -
23-06-2010 16:37 gewijzigd op 23-06-2010 16:39
Valt niet veel te beoordelen. Bovenstaande controleerd alleen of het wachtwoord klopt ja of nee.

Ps je hoeft alleen mysql_real_escape_string() over variabelen te gooien als je ze in je query gebruikt. Dat bij if != wachtwoord is onnodig dus. die backtics kun je er uit slopen zijn nergens voor nodig, $variabelen buiten quotes halen is ook beter leesbaar.

sha1 is sterker dan md5.

EDIT: Iets te laat, ± alles wat Arjan al voor je gedaan heeft.
?
Onbekende gebruiker
23-06-2010 16:50
Je kunt ook gewoon dat password in de query, in de where, proppen en dan kijken of er maar een resultaat komt. Mysql kent ook md5.
Verder is het gebruik van [php]mysql_fetch_assoc[/php] beter dan object, omdat object geen toegevoegde waarde heeft (het levert maar een nep object op en is trager).
Selecteer ook wat je wilt selecteren. Gebruik niet *.
S
Sjors Anoniem
23-06-2010 16:51
Oke dank jullie, maar het is hiermee dus niet mogelijk om via wat voor code (sql-injection) toegang te krijgen?

@Arjen Achternaam: Wat geeft !== voor toevoeging ipv !=?
?
Onbekende gebruiker
23-06-2010 16:54
Sjors Anoniem op 23/06/2010 16:51:26

Oke dank jullie, maar het is hiermee dus niet mogelijk om via wat voor code (sql-injection) toegang te krijgen?

Nope

Sjors Anoniem op 23/06/2010 16:51:26
@Arjen Achternaam: Wat geeft !== voor toevoeging ipv !=?

Zie [php]operators[/php].

A
Arjan -
23-06-2010 17:19 gewijzigd op 23-06-2010 17:19
Wat ik je wel aanraadt is om vóór de gegeven code te controleren of er wel wat is ingevuld in het "login" veld en in het "wachtwoord" veld. Dan weet je zeker dat er geen lege velden worden gecontroleerd, anders wordt het wel heel makkelijk.

Ook bij het registreren dien je te controleren of er wel waarden zijn ingevuld bij de inloggegevens.

Sjors Anoniem op 23/06/2010 16:51:26

@Arjen Achternaam: Wat geeft !== voor toevoeging ipv !=?


Het maakt in dit geval niet veel uit, maar met een dubbele = (==) wordt ook gekeken of het type (string, integer, boolean, etc.) overeenkomt met elkaar. Maar in jouw geval zal het altijd een string zijn, dus volstaat een enkele = ook wel.

Reageren

Inloggen om te reageren