Vervanger van Base64
Voordelen van Base64:
- Je hebt alleen Cijfers met (Hoofd)letters.
- Encode en decode is handig.
Wat is echt een goed vervanger van Base64?
- Ik wil dat geen punt of slash in url komt te staan.
- Encode en decode is noodzakelijk.
Gewijzigd op 28/06/2015 21:09:10 door Johan de wit
Toevoeging op 28/06/2015 21:19:03:
convert_uuencode() is een mogelijkheid?
Dus is het niet de juiste manier als je een url echt wilt "verbergen". Je kunt door te decoden immers het origineel weer tevoorschijn halen. Maar andere vraag. Waarom wil je een "ID vervangen/verbergen"? Wat is er zo geheim aan een ID?
Als je toch zoiets wil doen (maar misschien kun je beter even uitleggen wat je precies wilt) dan lijkt hashing me een logischere optie.
Weliswaar zal iemand vanuit id=MTIzNA== niet snel zien dat dat voor 1234 staat, maar als hij dat wel doorheeft, kan hij vervolgens alsnog bij alle accounts.
Dan hoef je allemaal geen coderingen te gebruiken.
Gewijzigd op 29/06/2015 11:24:24 door Marthijn Buijs
Ivo P op 29/06/2015 10:18:48:
Als het gaat om: "ik zie mijn settings via /account.php?id=1234", omdat ik user 1234 ben, en jij wilt voorkomen dat ik via /account.php?id=1233 de settings van een ander zie, dan ben je op de verkeerde weg.
Weliswaar zal iemand vanuit id=MTIzNA== niet snel zien dat dat voor 1234 staat, maar als hij dat wel doorheeft, kan hij vervolgens alsnog bij alle accounts.
Weliswaar zal iemand vanuit id=MTIzNA== niet snel zien dat dat voor 1234 staat, maar als hij dat wel doorheeft, kan hij vervolgens alsnog bij alle accounts.
Account.php?id=1234 is opgelost dus iedereen kan alleen zijn eigen profiel aanpassen, nu wil ik de volgende stap nemen en daar had ik een topic voor geopend maar helaas alles is door elkaar gegaan dat er geen oplossing is gevonden.
Ik heb een pagina met links op staan dus een overzicht. Na inloggen kan je items uploaden (uploaden is er nog niet) en elke moment kan je via bewerk pagina aanpassen.
Wat nu vervelende aan is als je in url balk item=1234 hebt staan, dan kan je dit ook naar item=12345678890 veranderen en vervolgens aanpassen.
Item wat door jou is geupload mag niemand anders dan jij zelf aanpassen.
Toevoeging op 29/06/2015 11:34:33:
PHP Maarten op 29/06/2015 11:23:50:
Sessies kunnen achterhaald worden dus ik zou wel een beveiliging gebruiken.
Wou ik net gaan zeggen.
Toevoeging op 29/06/2015 11:35:51:
Ozzie PHP op 29/06/2015 10:10:20:
>> Bij elke website kan je Base64 decoderen.
Dus is het niet de juiste manier als je een url echt wilt "verbergen". Je kunt door te decoden immers het origineel weer tevoorschijn halen. Maar andere vraag. Waarom wil je een "ID vervangen/verbergen"? Wat is er zo geheim aan een ID?
Als je toch zoiets wil doen (maar misschien kun je beter even uitleggen wat je precies wilt) dan lijkt hashing me een logischere optie.
Dus is het niet de juiste manier als je een url echt wilt "verbergen". Je kunt door te decoden immers het origineel weer tevoorschijn halen. Maar andere vraag. Waarom wil je een "ID vervangen/verbergen"? Wat is er zo geheim aan een ID?
Als je toch zoiets wil doen (maar misschien kun je beter even uitleggen wat je precies wilt) dan lijkt hashing me een logischere optie.
Je antwoord staat bovenaan. :)
Dan kan je het hele systeem gaan aanpassen, omdat er iemand van alles doet wat hij niet hoort te doen.
Beter doe je nog een controle erachter, om te kijken of het wel echt die gebruiker is.
Quote:
Sessies kunnen achterhaald worden dus ik zou wel een beveiliging gebruiken.
Wou ik net gaan zeggen.
Wou ik net gaan zeggen.
Op de manier hoe je nu ID's probeert te verbergen, is makkelijker te achterhalen dan sessies.
Quote:
Item wat door jou is geupload mag niemand anders dan jij zelf aanpassen.
sessies
Gewijzigd op 29/06/2015 11:43:46 door Randy vsf
Randy Flujowa op 29/06/2015 11:41:37:
En als iemand doorheeft dat de id's maar "gemaskeerd" zijn.
Dan kan je het hele systeem gaan aanpassen, omdat er iemand van alles doet wat hij niet hoort te doen.
Beter doe je nog een controle erachter, om te kijken of het wel echt die gebruiker is.
Dan kan je het hele systeem gaan aanpassen, omdat er iemand van alles doet wat hij niet hoort te doen.
Beter doe je nog een controle erachter, om te kijken of het wel echt die gebruiker is.
Hier kwamen wij niet uit, dan heb je geen keus en dan moet je door zoeken naar een andere oplossing.
Toevoeging op 29/06/2015 11:46:29:
Randy Flujowa op 29/06/2015 11:41:37:
En als iemand doorheeft dat de id's maar "gemaskeerd" zijn.
Dan kan je het hele systeem gaan aanpassen, omdat er iemand van alles doet wat hij niet hoort te doen.
Beter doe je nog een controle erachter, om te kijken of het wel echt die gebruiker is.
Op de manier hoe je nu ID's probeert te verbergen, is makkelijker te achterhalen dan sessies.
sessies
Dan kan je het hele systeem gaan aanpassen, omdat er iemand van alles doet wat hij niet hoort te doen.
Beter doe je nog een controle erachter, om te kijken of het wel echt die gebruiker is.
Quote:
Sessies kunnen achterhaald worden dus ik zou wel een beveiliging gebruiken.
Wou ik net gaan zeggen.
Wou ik net gaan zeggen.
Op de manier hoe je nu ID's probeert te verbergen, is makkelijker te achterhalen dan sessies.
Quote:
Item wat door jou is geupload mag niemand anders dan jij zelf aanpassen.
sessies
Zal ik doorverwijzen naar mij topic of kan ik beter script nogmaals plaatsen?
Quote:
En als iemand doorheeft dat de id's maar "gemaskeerd" zijn.
Dan kan je het hele systeem gaan aanpassen, omdat er iemand van alles doet wat hij niet hoort te doen.
Dan kan je het hele systeem gaan aanpassen, omdat er iemand van alles doet wat hij niet hoort te doen.
PHP Maarten op 29/06/2015 11:47:44:
Je moet in je achterhoofd houden dat gebruikers van je website nooit te vertrouwen zijn en dus de nodige beveiliging moet hebben.
Quote:
En als iemand doorheeft dat de id's maar "gemaskeerd" zijn.
Dan kan je het hele systeem gaan aanpassen, omdat er iemand van alles doet wat hij niet hoort te doen.
Dan kan je het hele systeem gaan aanpassen, omdat er iemand van alles doet wat hij niet hoort te doen.
Als je niet uit kan komen.
Johan de wit op 29/06/2015 11:54:10:
Als je niet uit kan komen.
PHP Maarten op 29/06/2015 11:47:44:
Je moet in je achterhoofd houden dat gebruikers van je website nooit te vertrouwen zijn en dus de nodige beveiliging moet hebben.
Quote:
En als iemand doorheeft dat de id's maar "gemaskeerd" zijn.
Dan kan je het hele systeem gaan aanpassen, omdat er iemand van alles doet wat hij niet hoort te doen.
Dan kan je het hele systeem gaan aanpassen, omdat er iemand van alles doet wat hij niet hoort te doen.
Als je niet uit kan komen.
Overal is een oplossing voor.
Een gebruiker kan op deze manier zelfs het admin account overnemen :) .
Bart V B op 29/06/2015 10:46:25:
Is het misschien een hele rare suggestie om geen GET te gebruiken maar om een session te gebruiken?
Dan hoef je allemaal geen coderingen te gebruiken.
Dan hoef je allemaal geen coderingen te gebruiken.
PHP Maarten op 29/06/2015 11:23:50:
Sessies kunnen achterhaald worden dus ik zou wel een beveiliging gebruiken.
Johan de wit op 29/06/2015 11:33:45:
Wou ik net gaan zeggen.
PHP Maarten op 29/06/2015 11:23:50:
Sessies kunnen achterhaald worden dus ik zou wel een beveiliging gebruiken.
Wou ik net gaan zeggen.
Toch weer een beetje jammer wat hier gebeurt. Bart komt met een prima oplossing. Maarten komt met wat ongefundeerde spierballentaal door te stellen dat sessies achterhaald kunnen worden, en vervolgens gaat Johan hier ook nog eens klakkeloos in mee.
Misschien eerst even wat basiskennis opdoen alvorens dingen te roepen en op een onjuiste manier uit te gaan voeren?
Toevoeging op 29/06/2015 13:14:16:
PS Johan, graag alleen iets quoten als je NIET op de laatste reactie reageert. In overige gevallen is het niet nodig om telkens hele lappen tekst te quoten.
De inhoud van sessies kan alleen aan de serverzijde gewijzigd worden.
Er wordt doorgaans gerefereerd aan een sessie(id) via een cookie. Als het echt de bedoeling is dat een sessie persoonsgebonden is, en het niet de bedoeling is dat iemand anders die enkel kan overnemen als deze het cookie (en daarmee het sessie-id) weten, dan zul je meer voorzieningen moeten inbouwen, bijvoorbeeld een controle op ip.
Met deze eenvoudige voorziening is je sessie redelijk veilig.
Volgende stap is in de sessie bij te houden wie je bent, nadat je succesvol bent ingelogd. Je zou dan bijvoorbeeld je user id kunnen opslaan in je sessie.
Dan de beveiliging van je items: vergelijk de eigenaar van het item (als er zoiets is) met het user id in de sessie. Op grond daarvan besluit je of iemand toegang krijgt tot een item.
En als iemand geen user id in zijn sessie heeft zitten (dit houdt dus in dat iemand niet ingelogd is) heeft deze sowieso niets te zoeken in een adminpaneel...
Ik zou je inderdaad wat gaan verdiepen in hoe dingen werken, dan is de uitwerking van wat je wilt bereiken volgens mij een stuk simpeler.
EDIT security through obscurity is nooit een goed idee.
Gewijzigd op 29/06/2015 13:51:48 door Thomas van den Heuvel
Thomas van den Heuvel op 29/06/2015 13:49:38:
Dan de beveiliging van je items: vergelijk de eigenaar van het item (als er zoiets is) met het user id in de sessie. Op grond daarvan besluit je of iemand toegang krijgt tot een item.
En daarom is het waarschijnlijk verstandig om eerst het uploaden in te bouwen, zodat je weet (a) wie (b) wat (c) waar mag opslaan. Daarna is het bewerken van die uploads namelijk makkelijker in te bouwen.
En plaats die hash in de link...
Gewijzigd op 29/06/2015 16:29:33 door Randy vsf
Code (php)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
<?php
if(user_is_ingelogd()) {
if($id = filter_input(INPUT_GET, 'id') && id_is_van_user($id, $_SESSION['user'])) {
if($_SERVER['REQUEST_METHOD'] == 'POST') {
// doe update query's en zo.
if($ok) {
header('Location: ......' );
exit();
}
}
else {
// GET, dus tonen edit scherm
}
}
else {
// foutmelding dat id niet gegeven is, of dat het niet een id is van deze user.
// eventueel in het midden laten of het wel een bestaand id zou zijn.
}
}
?>
if(user_is_ingelogd()) {
if($id = filter_input(INPUT_GET, 'id') && id_is_van_user($id, $_SESSION['user'])) {
if($_SERVER['REQUEST_METHOD'] == 'POST') {
// doe update query's en zo.
if($ok) {
header('Location: ......' );
exit();
}
}
else {
// GET, dus tonen edit scherm
}
}
else {
// foutmelding dat id niet gegeven is, of dat het niet een id is van deze user.
// eventueel in het midden laten of het wel een bestaand id zou zijn.
}
}
?>
die functie id_is_van_user() mag je zelf uitdenken.
Maar op deze manier kan iemand die niet ingelogd is bij geen enkele edit
iemand kan niet bij andermans editscherm om te kijken
en kan ook niet opslaan.
Randy Flujowa op 29/06/2015 16:29:12:
Als de gebruiker alleen zijn eigen uploads te zien krijgt, hash dan de id van de items weg.
En plaats die hash in de link...
En plaats die hash in de link...
Als er fatsoenlijke controles voor "eigenaarschap" in zitten is dat niet nodig. Het bovenstaande is een overcomplificering die het uiteindelijke probleem (het afschermen van items) niet oplost.
De eenvoudigste manier om te controleren of iemand iets met een item mag doen is... controleren of iemand (wie) iets (wat) met een item mag doen.
Ivo P op 29/06/2015 17:10:18:
die functie id_is_van_user() mag je zelf uitdenken.
Maar op deze manier kan iemand die niet ingelogd is bij geen enkele edit
iemand kan niet bij andermans editscherm om te kijken
en kan ook niet opslaan.
Code (php)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
<?php
if(user_is_ingelogd()) {
if($id = filter_input(INPUT_GET, 'id') && id_is_van_user($id, $_SESSION['user'])) {
if($_SERVER['REQUEST_METHOD'] == 'POST') {
// doe update query's en zo.
if($ok) {
header('Location: ......' );
exit();
}
}
else {
// GET, dus tonen edit scherm
}
}
else {
// foutmelding dat id niet gegeven is, of dat het niet een id is van deze user.
// eventueel in het midden laten of het wel een bestaand id zou zijn.
}
}
?>
if(user_is_ingelogd()) {
if($id = filter_input(INPUT_GET, 'id') && id_is_van_user($id, $_SESSION['user'])) {
if($_SERVER['REQUEST_METHOD'] == 'POST') {
// doe update query's en zo.
if($ok) {
header('Location: ......' );
exit();
}
}
else {
// GET, dus tonen edit scherm
}
}
else {
// foutmelding dat id niet gegeven is, of dat het niet een id is van deze user.
// eventueel in het midden laten of het wel een bestaand id zou zijn.
}
}
?>
die functie id_is_van_user() mag je zelf uitdenken.
Maar op deze manier kan iemand die niet ingelogd is bij geen enkele edit
iemand kan niet bij andermans editscherm om te kijken
en kan ook niet opslaan.
Momenteel heb ik dit.
Code (php)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
<?PHP
session_start();
if (!(isset($_SESSION['user_login_status']) && $_SESSION['user_login_status'] != '')) {
header ("Location: index.php");
exit; // NA HEADER EEN EXIT EN JE SCRIPT STOPT DAN OOK DAADWERKELIJK
}
// INITIALISATIE ID MET DEFAULTWAARDE 0
$id = 0;
if(isset($_GET['id'])) {
$id = intval(base64_decode($_GET['id']));
}
// VALIDATIE VAN $id
if($id < 1) {
echo 'Ongeldige GET parameter id';
exit;
}
// ALLEEN ROW VAN SESSIES IS TOEGESTAAN
if(isset($_GET['id'])) {
if($_GET['id'] == $_SESSION['gebruikers_id']) {
echo "Zonder ID kan ik niks!";
} else {
echo "Foei, stout, niet lief! Jij mag niet andermans spulletjes verwijderen.";
}
} else {
echo "Zonder ID kan ik niks!";
}
try {
$dbc = new PDO('mysql:host=localhost; dbname=verborgen', 'verborgen', 'verborgen');
} catch (PDOException $e) {
echo "Error: " . $e->getMessage();
}
if(isset($_POST['submit_btn'])) { // HIER ZOU JE EERST NOG JE FORMULIER MOETEN VALIDEREN
$query = "UPDATE tabelnaam SET iets=? WHERE id=?";
$stmt = $dbc->prepare($query);
$stmt->bindParam(6, $_POST['mid']);
if($stmt->execute()) {
echo "Geupdated";
} else {
echo "Probeer nogmaals";
}
// EEN GOEDE GEWOONTE IS OM NA HET VERWERKEN VAN EEN 'POST' TE REDIRECTEN
header ("Location: whatever.php"); // KIES ZELF MAAR NAAR WELKE PAGINA JE WILT
exit;
}
try {
$query = "SELECT * FROM tabelnaam WHERE id=?";
$stmt = $dbc->prepare($query);
$stmt->bindParam(1, $id);
$stmt->execute();
$row=$stmt->fetch(PDO::FETCH_ASSOC);
$id = $row['id'];
} catch(PDOException $e) {
echo "Error: " . $e->getMessage();
}
?>
session_start();
if (!(isset($_SESSION['user_login_status']) && $_SESSION['user_login_status'] != '')) {
header ("Location: index.php");
exit; // NA HEADER EEN EXIT EN JE SCRIPT STOPT DAN OOK DAADWERKELIJK
}
// INITIALISATIE ID MET DEFAULTWAARDE 0
$id = 0;
if(isset($_GET['id'])) {
$id = intval(base64_decode($_GET['id']));
}
// VALIDATIE VAN $id
if($id < 1) {
echo 'Ongeldige GET parameter id';
exit;
}
// ALLEEN ROW VAN SESSIES IS TOEGESTAAN
if(isset($_GET['id'])) {
if($_GET['id'] == $_SESSION['gebruikers_id']) {
echo "Zonder ID kan ik niks!";
} else {
echo "Foei, stout, niet lief! Jij mag niet andermans spulletjes verwijderen.";
}
} else {
echo "Zonder ID kan ik niks!";
}
try {
$dbc = new PDO('mysql:host=localhost; dbname=verborgen', 'verborgen', 'verborgen');
} catch (PDOException $e) {
echo "Error: " . $e->getMessage();
}
if(isset($_POST['submit_btn'])) { // HIER ZOU JE EERST NOG JE FORMULIER MOETEN VALIDEREN
$query = "UPDATE tabelnaam SET iets=? WHERE id=?";
$stmt = $dbc->prepare($query);
$stmt->bindParam(6, $_POST['mid']);
if($stmt->execute()) {
echo "Geupdated";
} else {
echo "Probeer nogmaals";
}
// EEN GOEDE GEWOONTE IS OM NA HET VERWERKEN VAN EEN 'POST' TE REDIRECTEN
header ("Location: whatever.php"); // KIES ZELF MAAR NAAR WELKE PAGINA JE WILT
exit;
}
try {
$query = "SELECT * FROM tabelnaam WHERE id=?";
$stmt = $dbc->prepare($query);
$stmt->bindParam(1, $id);
$stmt->execute();
$row=$stmt->fetch(PDO::FETCH_ASSOC);
$id = $row['id'];
} catch(PDOException $e) {
echo "Error: " . $e->getMessage();
}
?>