registratie en login systeem
Sinds enige tijd hou ik me in m'n vrije tijd bezig met het bouwen van een website. De website heeft ook een gedeelte voor leden, dus registreer, login, wachtwoord vergeten pagina's en bepaalde gedeelten die enkel zichtbaar zijn voor leden van een bepaalde groep, bijv een pagina om een nieuw project te creëren, bestands upload enz.
Na lang zoeken op internet ben ik een pagina tegen gekomen waar, in mijn ogen, een veilig registratie/login script dat met sessies werkt op stond. Hiervan heb ik dankbaar gebruik van gemaakt en het script daar waar nodig aangepast om het passend te maken.
Nu slaat toch de twijfel toe. Ontwikkelingen op internet gaan snel. Wat nu veilig is, kan morgen onveilig en aan herstel/aanpassing toe zijn. Ik weet dat ik het niet ga trekken om dat zelf bij te houden. Hiervoor ben ik nu op zoek naar een oplossing.
Ik heb gekeken naar de externe registratie/login functie van phpbb en deze ook getest. Ondanks dat ik geen forum bij de site wil, maar dat is een kwestie van de link verborgen houden. Het werkt naar behoren en als phpbb een update heeft kan ik de update draaien zonder dat ik me druk hoef te maken om de beveiliging van het registratie en login systeem. Toch heb ik het gevoel dat dit niet is wat ik wil.
Ik ben nu dus op zoek naar een veilig en betrouwbaar registratie/login/wachtwoord vergeten script, met regelmatige updates. Het hoeft niet gratis te zijn, voor veilig en betrouwbaarheid wil ik best wat betalen.
Hebben jullie hier ervaring mee of weten jullie een site/bedrijf oid waar ik zoiets kan vinden?
Mocht er iets niet duidelijk zijn dan hoor ik het graag.
Alvast bedankt!
Groet,
Martin
Gewijzigd op 04/08/2014 00:19:58 door - Ariën -
Natuurlijk is het internet constant in beweging, maar een inlogscript doet eigenlijk maar 1 ding:
Controleren of de ingevulde waardes gelijk zijn met wat in de database staat. Zo nee; foutmelding, zo ja: inloggen.
Natuurlijk kun je altijd een script kopen ergens. Maar dat je er geld voor moet betalen wil niet altijd zeggen dat het goed is. Koop dus niet het eerste script wat je ziet waar iets bij staat van 'inlog'...
- minimale eisen en lengte voor het wachtwoord
- voorkoming van dubbele gebruikersnamen en mailadressen
- het gecodeerd opslaan van de wachtwoorden
- een registratie proces waarbij het mailadres op juistheid wordt gecontroleerd
- een wachtwoord herstel functie hebben
- een wijzig wachtwoord functie hebben
- zo goed mogelijk tegen session hijacking gewapend zijn
- zo goed mogelijk tegen cross-platform inlog pogingen
- zo goed mogelijk tegen sql injection beveiligd zijn
wie vult hem aan?
- Bij voorkeur een systeem dat je inlogsessies die aangemaakt zijn vanaf een andere locatie kan uitloggen.
Gewijzigd op 04/08/2014 12:42:20 door - Ariën -
top Aar!
Voor site waar betalingen worden gevoerd is het zeker noodzakelijk. Voor een community minder, maar dan moet je het zelf even de afweging wagen.
Aan een goed certificaat zitten een hoop kosten gebonden, dat is wel een punt om rekening mee te houden.
Gewijzigd op 04/08/2014 12:54:56 door - Ariën -
Deze gebruik ik nu:
http://www.wikihow.com/Create-a-Secure-Login-Script-in-PHP-and-MySQL
Dit is enkel een login pagina, registratie heb ik zelf gemaakt, wachtwoord vergeten moet ik nog doen.
Ik was ook zeker niet van plan om het eerste script wat ik tegen zou komen te pakken. Daarom heb ik dit topic aangemaakt en om advies gevraagd.
Betalingen die uitgevoerd gaan worden gaan via paypal, daarvoor heb ik voor zover ik weet geen ssl certificaat nodig.
De term "certificaat" dekt de lading eigenlijk maar half: het draait bij SSL niet alleen om de gecontroleerde bevestiging van een identiteit, via het certificaat, maar ook om de encryptie van het volledige dataverkeer.