paswoorden bestand

Door Gerard Brieder op 18-03-2019 22:01

2.670 views

Hallo medeprogrammeurs,

Ik heb een vraagje betreffende een paswoorden bestand, die ik graag beveiligd wil hebben en voor mij als beheerder onleesbaar en voor een clublid gewoon benaderbaar om te wijzigen. Ik als beheerder wil wel een paswoord kunnen verwijderen als deze is vergeten. Ik gebruik SQLite en Php om het bestand op te vragen.

Ik vraag dus een methode niet een programma.

Alvast bedankt,
Gerard Jan

- Ariën -

18-03-2019 22:03 gewijzigd op 18-03-2019 22:04

Zet het buiten de webroot waar je bestanden van je site in staan (public_html, htdocs, www).
Bij zeer sterke voorkeur alles hashen met password_hash() en controleren met password_verify().

Thomas van den Heuvel

18-03-2019 22:38

Wat voor wachtwoord bestand hebben we het hier over?
.htpasswd?
een PHP-bestand met hierin wachtwoorden?
iets anders?

Kun je de wachtwoorden van gebruikers niet in een database opslaan?

En wat beveilig je met deze wachtwoorden?
En hoe werkt deze beveiliging?

- Ariën -

18-03-2019 22:50 gewijzigd op 18-03-2019 22:51

Als ik zo lees is het PHP en SQLite zijn die gebruikt worden om het op te vragen en op te slaan.
Voor de opslag wordt in dat geval een .db file gebruikt wat infeite al een database is, en die kan prima worden ondergebracht buiten de webroot.

Thomas van den Heuvel

18-03-2019 23:07

Dat bestand hoort in ieder geval niet thuis in de publieke webdirectory.

Gerard Brieder

19-03-2019 11:21

Thomas en Arien, vriendelijk bedankt voor jullie snelle reactie.
Allereerst, zoals ik al opgemerkt had werkt alles al naar behoren met Sqlite en PHP. DE goede opmerkingen van Arien, had ik ook al uitgevoerd. Dus het is voor een buitenstaander al heel moeilijk gemaakt om bij de bestanden te kunnen komen. Daarvoor dank en zeker was dit een goede tip voor iedereen!

Nu dan het punt waar het omgaat en waar de vraag eigenlijk over ging is:
Ik kan nu als beheerder de paswoorden uitlezen uit de database van SQLight, van al mijn leden. Dat wil ik dus niet!
De vraag is nu hoe behandel ik de data van het paswoord, wat ik nu een op een wegzet in de database, zodanig dat het voor mij niet leesbaar is als beheerder.
Ik hoop dat ik nu duidelijk genoeg ben.
Vriendelijke dank alvast. Gerard Jan.

- Ariën -

19-03-2019 11:58 gewijzigd op 19-03-2019 11:59

Hash ze met [php]password_hash[/php] en controleer ze met [php]password_verify[/php] bij het inloggen.
Vanaf dat moment zijn ze voor niemand meer leesbaar als rauwe wachtwoorden.

Als iemand zijn password vergeten is, dan moet je een procedure schrijven die aan de hand van een mail-adres validatie de gebruiker de mogelijkheid biedt om een nieuw wachtwoord te bedenken, die je uiteraard weer gehashed opslaat.

Gerard Brieder

19-03-2019 14:41

Ariën, Nogmaals vriendelijke dank.

Dat was het gene ik naar opzoek was. Ik had nog nooit gehoord van het PHP commando password_hash en password_verify , dat was dus het probleem.
Ik heb weer geleerd, en ga nu gauw wat tests uitvoeren in de programmatuur. Ik denk dat ik er nu ben.

Bedankt, Gerard Jan.

[size=xsmall]Toevoeging op 19/03/2019 20:14:31:[/size]

Ariën, Ik heb de PHP paswoord commando's met succes uitgetest!

Ook Thomas nog bedankt.
Met vriendelijke groet,
Gerard Jan

Reageren

Inloggen om te reageren