Ik heb een paar vragen over beveiliging in PHP.
Als eerste een vraag over sessies, ik gebruik momenteel het volgende script om te kijken of de sessie veilig is:
Is dat afdoende om een veilige sessie te creëren en te behouden? (Ik ga userid etc. in de sessie opslaan)
En dan had ik nog een vraag, voor het beveiligen van wachtwoords deed ik tot nu toe meestal het volgende:
- wachtwoord + timestamp registreren user + string met vage karakters (constant) en die hashen met sha1
Maar nu ben ik bezig met een applicatie waarbij er veel users tegelijk worden aangemaakt en dus is het timestamp idee niet meer zo zinvol. Is het afdoende om er bij elke user een string met karakters aan vast te plakken? Die string is voor elke user hetzelfde en is alleen in het PHP script bekend, niet in de database. Of weet iemand een betere methode?
Als eerste een vraag over sessies, ik gebruik momenteel het volgende script om te kijken of de sessie veilig is:
PHP:
1
2
3
4
5
6
7
8
9
10
11
12
13
| if (!isset($_SESSION['initiated'])) { session_regenerate_id(); $_SESSION['initiated'] = true; } if (isset($_SESSION['fingerprint'])) { $fingerprintCheck = md5($_SERVER['HTTP_USER_AGENT'].$_SERVER['REMOTE_ADDRESS']."@#$%^&*()"); if ($_SESSION['fingerprint'] != $fingerprintCheck) { fatalError(SESSION_FINGERPRINT_MISMATCH); } } else { $_SESSION['fingerprint'] = md5($_SERVER['HTTP_USER_AGENT'].$_SERVER['REMOTE_ADDRESS']."@#$%^&*()"); } |
Is dat afdoende om een veilige sessie te creëren en te behouden? (Ik ga userid etc. in de sessie opslaan)
En dan had ik nog een vraag, voor het beveiligen van wachtwoords deed ik tot nu toe meestal het volgende:
- wachtwoord + timestamp registreren user + string met vage karakters (constant) en die hashen met sha1
Maar nu ben ik bezig met een applicatie waarbij er veel users tegelijk worden aangemaakt en dus is het timestamp idee niet meer zo zinvol. Is het afdoende om er bij elke user een string met karakters aan vast te plakken? Die string is voor elke user hetzelfde en is alleen in het PHP script bekend, niet in de database. Of weet iemand een betere methode?