PHPhulp.nl PHPhulp.nl
35k+ leden Over PHPhulp Offerte opdracht Contact
Y

Veilige simpele login

Door Yoeri Achterbergen op 21-03-2016 15:47 gewijzigd op 21-03-2016 15:49
3.981 views
Hallo,


Graag had ik wat advies om een dashboard login veilig te maken.
Het graat hierom een dashboard waarvoor je je niet kunt registreren, dus voor vaste mensen.

index:

<html>
<head>
<title>Dashboard</title>
<link rel="stylesheet" href="css/style.css"></link>
</head>
<body>
<form action="" method="POST">
<input type="text" class="logscreen_fields" name="user" id="user" placeholder="Gebruikersnaam"></input>
<input type="password" class="logscreen_fields" name="password" id="password" placeholder="Wachtwoord"></input>
</form>
</body>
</html>


<?php
session_start();

if($_SERVER['REQUEST_METHOD'] == 'POST'){

$user = $_POST['user'];
$password = $_POST['password'];


$users = array(
	'Gebruikera' => 'wachtwoorda',
	'Gebruikerb' => 'wachtwoordb',
	'Gebruikerc' => 'wachtwoordc'
//enz.
);


if(isset($users[$user])){
if($password == $users[$user]){
$_SESSION['login-naam'] = $user;
$_SESSION['login'] = "success";
//en word doorgestuurd naar beveiligd epagina

}else{
echo 'Wachtwoord is onjuist bij deze gebruikersnaam';
}

}else{
echo 'deze gebruiker is niet bij ons bekend.';

}
}
?>


securepage:

<?php
session_start();
if ($_SESSION['login'] != "success")
    {
        header('Location: index.php');
        exit();
    }
?>



Gr. Yoeri
Y
Yoeri Achterbergen
22-03-2016 18:59
Beste Thomas,

Aangezien er maar een beheerder is (ik zelf) dacht ik het zonder admin functies te doen, maar Ariën heeft mij wel iets van gedachte veranderd.
Natuurlijk moet het een simpele login blijven maar een admin account waarmee je snel en simpel gebruikers kunt wijzigen en/of aanmaken is natuurlijk wel handig mocht ik dit in de toekomst willen uitbreiden. Ik ben vandaag beetje bezig geweest en ben nu een xml file het genereren waar alle users instaan inclusief een password hash.

Ik kan de xml file dan met php herschrijven en als er ingelogd word php laten nakijken of de gegevens kloppen.

Ariën
22-03-2016 19:03 gewijzigd op 22-03-2016 19:04
Dat kan ook. Maar wat houdt je tegen om een echte database te gebruiken, zoals MySQL of SQLlite?
J
Jop B
22-03-2016 19:17
Beste Arien,


Wat zijn precies de verschillen tussen xml en MySQL?
MySQL maakt gebruik van tabellen en xml van elementen, komt dat niet ongeveer op het zelfde neer?
Ariën
22-03-2016 19:22
Het werkt met queries (SQL), je kan er relaties mee aanleggen tussen tabellen. Gemakkelijk data opzoeken... etc....

Zeker een aanrader voor een inlogsysteem!
J
Jop B
22-03-2016 20:45
Wat is buiten de queries het verschil? Is het sneller, stabieler?
Met xml kun je toch ook met elkaar koppelen en zo verbanden met elkaar leggen?
L
L deB
22-03-2016 22:31
Pipo Clown op 21/03/2016 21:47:26

[quote="L deB op 21/03/2016 19:59:36"]
Ik mis filtering van de input... htmlspecialchars, trim etc...


Wat is het nut daarvan wanneer je alleen leest uit de database ?

Aangezien we geen verdere info hebben zou er, bij wijzigingen in de database, ook heel goed gebruik gemaakt kunnen worden van prepared statements.


[/quote]

Voor zover ik weet leest hij niet uit een database en zijn er wel meer mogelijkheden om een website te gebruiken in plaats van slechts sql injectie. Lijkt me bij een inlogsysteem dat je altijd input wil filteren, of je het nou haalt uit een bestand of de database. Maar goed als ik er helemaal naast zit en het geen nut heeft hoor ik het graag, serieus, dit is gewoon wat ik tot nu toe meen ervan begrepen te hebben.

J
Jop B
22-03-2016 22:38
Ik kwam op internet ook NoSQL databases tegen alleen is er weinig te vinden over het opzetten hiervan.
Heeft iemand hier ervaring mee?
L
L deB
22-03-2016 22:46
Jop B op 22/03/2016 22:38:57

Ik kwam op internet ook NoSQL databases tegen alleen is er weinig te vinden over het opzetten hiervan.
Heeft iemand hier ervaring mee?


Waarom zou je juist nou weer zo'n 1 uit 100 alternatief willen gebruiken?

Reageren

Inloggen om te reageren