PHPhulp.nl PHPhulp.nl
35k+ leden Over PHPhulp Offerte opdracht Contact

veilig login

Door Reshad F op 13-03-2012 23:18
3.682 views
hallo ik ben voor mijn website bezig om een admin gedeelte te bouwen zodat ik makkelijk content kan toevoegen/verwijderen/wijzigen en heb niet altijd mijn laptop met mijn bestanden bij me natuurlijk :)

dus heb ik nu een zo veilig mogelijke login proberen te maken met de vele criteria en tips die hier gegeven wordt en ben tot een stukje php script gekomen en wil aan jullie vragen of dit goed is en zal werken.

hieronder dan het stukje code

<?php
if ($_SERVER['REQUEST_METHOD'] == 'POST'){

include ('connect.php');

$gebruikersnaam = trim($_POST['name']);
$wachtwoord = trim($_POST['password']);
$salt = "#@#123456789876548946234986$$23#423#%FAW%#AWD1314";
$pass = sha1('password' .$salt);

if(empty($_POST[$gebruikersnaam])){

$noName = "vul uw naam in";
}

if(empty($_POST[$wachtwoord])){

$noPassword = "vul een wachtwoord in";
}

$gUser = ("SELECT name, password
FROM members
WHERE name='" .mysql_real_escape_string($_POST[$gebruikersnaam]). "'
");
if($gUser === false){

$errDB = "er ging iets fout in de database";
}

else {


if (sha1($_POST[$wachtwoord] .$salt)== $pass && ($_POST[$gebruikersnaam])== 'name' ){

header("location: http://www.reshadfarid.nl/admin/admin.php";);

exit;

}

else {

$noMatch = "er is geen match gevonden voor desbetreffende wachtwoord en gebruikersnaam";
}
}
}


?>


	<form method="post" id="loginForm" action="">
		  <div>
				<label for="name">Naam:</label>
				<input id="name" name="name" type="text" />
				<?php if(isset($noName)){
						echo $noName;
				} ?>
		  </div>
		  	<div>
		  		<label for="password">Wachtwoord:</label>
		  		<input id="password" name="password" type="password" />
		  		<?php if(isset($noPassword)){
		  				echo $noPassword;
		  		}
		  		?>
		  	</div>

		  	<div><input type="submit" id="send" name="send" value="login"></div>
		  <?php if(isset($noMatch)){
		  				echo $noMatch;
		  		}
		  		if(isset($errDB)){
		  			echo $errDB;
		  		}
		  		?>
		  	</form>
O
Obelix Idefix
14-03-2012 16:49
Reshadd farid op 14/03/2012 16:40:15

@obelix ik weet dat het normaal gesproken beter in de query kan verwerken maar kom ik daarmee niet in de problemen als ik de wachtwoord eruit haal?


Geen idee wat je bedoelt.
De bewerkingen die je loslaat op de variabele die je aanmaakt, kun je ook gewoon toepassen op de $_POST waarde. Waarom de $_POST waarde kopiƫren naar een variabele?
Reshad F
14-03-2012 16:51 gewijzigd op 14-03-2012 16:56
@erwin ik snap wat je nu bedoelt, ik heb het in de query proberen te verwerken en heb de onnodige variabelen helemaal weggehaald en het in de query geprobeerd te zetten en ik hoop dat het nu goed is ik heb ook gelijk de sessie aangemaakt zodat hij helemaal compleet is :) kunnen jullie kijken of ik nu de salt en pepper er goed inzet ook ?

hierbij de code

<?php
if ($_SERVER['REQUEST_METHOD'] == 'POST'){

include ('connect.php');


$salt = "#@#123456789876548946234986$$23#423#%FAW%#AWD1314";
$pass = sha1('password' .$salt);

if(!isset('name')){

$noName = "vul uw naam in";
}

if(!isset('password')){

$noPassword = "vul een wachtwoord in";
}

$gUser = ("SELECT
name, password
FROM
members
WHERE
name = '" .mysql_real_escape_string($_POST['name']). "'
AND
password = '" .mysql_real_escape_string(sha1($_POST[$pass .$salt])). "'
");

$controle = mysql_query($gUser);

if($controle === false){

$errDB = "er ging iets fout in de database";
}

else {


if (mysql_num_rows($controle) > 0){

$_SESSION['name'] = $naam;
header("location: http://www.reshadfarid.nl/admin/admin.php";);

exit;

}

else {

$noMatch = "er is geen match gevonden voor desbetreffende wachtwoord en gebruikersnaam";
}
}
}


?>
E
Erwin H
14-03-2012 17:14
Regel 8, waar komt password nu vandaan? Ik neem aan dat je bedoelt $_POST['password'] (zelfde op regel 10 en 15)
Op regel 27 zit je een beetje fout met je $_POST variabele key.
Op regel 42 gebruik je $naam die niet bestaat.
O
Obelix Idefix
14-03-2012 17:15
Reshadd farid op 14/03/2012 16:51:44

<?php
if (mysql_num_rows($controle) > 0){
?>

Ik zou niet controleren op >0, maar of het 1 is.
Er is toch maar 1 gebruiker/wachtwoord combinatie mogelijk?
Of heb jij meerdere gebruikers met dezelfde naam en hetzelfde wachtwoord?
Reshad F
14-03-2012 17:25
@obelix ik heb het even aangepast @ erwin ik heb het even allemaal gefixt alleen regel 27 en 42 weet ik niet hoe op te lossen kan je een voorbeeldje geven ?

ik heb regel 24 hierin veranderd <?php password = '" .mysql_real_escape_string(sha1($pass .$salt). "' ?>

hoe moet ik de session dan doen? met

<?php session_register('name'); ?>
E
Erwin H
14-03-2012 17:32 gewijzigd op 14-03-2012 17:33
regel 27: aangezien je de salt er al bij doet in regel 8, hoef je in regel 27 alleen nog maar de encryptie erop los te laten:
mysql_real_escape_string(sha1($pass)) [edit: had je in $pass staan]
Alleen vraag ik me af of dan die mysql_real_escape_string nog nodig is. Enige rare code die een hacker erin gooit zou al verdwenen moeten zijn door de encryptie, maar dat zou je anders even zelf moeten proberen.

regel 42: hier kan he gewoon $_POST['name'] gebruiken. Je hebt het gecontroleerd en het is een goede gebruikersnaam, dus die kan je nu in je sessie zetten.
$_SESSION['name'] = $_POST['name'];

Session_register moet je niet gebruiken. Is in php 5.4 niets eens meer aanwezig.
Reshad F
14-03-2012 17:37 gewijzigd op 14-03-2012 17:37
eindresult

<?php
ini_set('display_errors', 1); // 0 = uit, 1 = aan
error_reporting(E_ALL);

if ($_SERVER['REQUEST_METHOD'] == 'POST'){

include ('connect.php');

$salt = "#@#123456789876548946234986$$23#423#%FAW%#AWD1314";
$pass = sha1($_POST['password'] .$salt);

if(!isset($_POST['name'])){

$noName = "vul uw naam in";
}

if(!isset($_POST['password'])){

$noPassword = "vul een wachtwoord in";
}

$gUser = ("SELECT
name, password
FROM
members
WHERE
name = '" .mysql_real_escape_string($_POST['name']). "'
AND
password = '" .mysql_real_escape_string(sha1($_POST['password'])). "'
");

$controle = mysql_query($gUser);

if($controle === false){

$errDB = "er ging iets fout in de database";
}

else {


if (mysql_num_rows($controle) > 0){

$_SESSION['name'] = $_POST['name'];
header("location: http://www.reshadfarid.nl/admin/admin.php";);

exit;

}

else {

$noMatch = "er is geen match gevonden voor desbetreffende wachtwoord en gebruikersnaam";
}
}
}


?>

nu heb ik nog een vraag aangezien ik de enige ben die gebruik gaat maken van de login kan ik dan gewoon zelf een wachtwoord invoegen in mijn database? dus een password 'hardcoded' aanmaken die echoen en in mijn database plakken?
E
Erwin H
14-03-2012 18:13
Maar je password check gaat nu fout, dat weet je toch?
Reshad F
14-03-2012 18:20
ik zie het. maar wat doe ik fout daarin ?

en hoe zou ik een beveiligde password hardcoded kunnen genereren met hoe ik het nu heb?
E
Erwin H
14-03-2012 18:26
Dit doe je:
$pass = sha1($_POST['password'] .$salt);
password = '" .mysql_real_escape_string(sha1($_POST['password'])). "'
(tweede regel een deel van je SQL statement)

Als je het ingegeven password plus de salt in $pass stopt, wat moet je dan in je SQL statement invoegen?

Reageren

Inloggen om te reageren