Wat is goed aan dit script en wat is fout? - Softwareontwikkeling

woensdag 22 mei 2013 22:45

Acties:

Verwijderd

Topicstarter

Goedendag alle,

Al een tijd gebruik ik onderstaand script, voor verschillende websites. Maar deze heeft een aantal (grote) lekken, denk ik, qua veiligheid. Wat mijn niet lukt is: mysql_real_escape_string toevoegen aan de $_POST gedeeltes. Wanneer ik dat bijvoorbeeld doe bij 'gebruikersnaam' lijkt het wel alsof hij heel de gebruikersnaam niet ziet. Want ik krijg dan de melding, dat de gebruikersnaam niet ingevuld is.

Ik werk met sessions, alleen niet gebonden aan IP, is dit beter of juist niet?

Wat kan beter, wat doe ik verkeerd en wat doe ik juist wel goed? Graag suggesties.

PHP:

<?php
session_start();
$databaseid = $_SESSION['gebruikersid'];
$gebruikersnaam = $_SESSION['gebruikersnaam'];
if (!$gebruikersnaam && !$databaseid){
 
$form = "<div class='form'><form id='login' action='' method='post'>
                Gebruikersnaam:<br>
                <input type='text'  class='tekst' name='gebruikersnaam' /><br>
                Wachtwoord:<br>
                </span> <input type='password' class='tekst' name='wachtwoord' value='' /><br>
                <input class='submit_nieuw' type='submit' name='inloggen' value='go!'/><br>
            </form></div>";
    
    if ($_POST['inloggen']) {
        $gebruikersnaam = $_POST['gebruikersnaam'];
        $wachtwoord = $_POST['wachtwoord'];
 
        if ($gebruikersnaam) {
            if ($wachtwoord) {
            
                $wachtwoord = md5(md5("8skA9c" . $wachtwoord . "lAx098S")); 
    
                $query = mysql_query("SELECT * FROM admin WHERE gebruikersnaam='$gebruikersnaam'");
 
                $numrows = mysql_num_rows($query);
                if ($numrows == 1) {
                    $row = mysql_fetch_assoc($query);
                    $databaseid = $row['id'];
                    $databasegebruiker = $row['gebruikersnaam'];
                    $databasewachtwoord = $row['wachtwoord'];
                    
                    if ($wachtwoord == $databasewachtwoord){
 
                        $_SESSION['gebruikersid'] = $databaseid;
                        $_SESSION['gebruikersnaam'] = $databasegebruiker;
                        
                        echo "<meta http-equiv='Refresh' content='0; url=../../admin.php' />";
                        
                    }else
                        echo "De gegevens kloppen niet. $form";
                
                }else 
                    echo "De gegevens kloppen niet. $form";
                
                mysql_close();
                        
            }else
                echo "Je moet een wachtwoord opgeven. $form";
                    
                    }else
                        echo "Je moet een gebruikersnaam opgeven. $form";           
        }else {
        echo $form; 
}
 
}else{
header('location: ../../admin.php');
}
?>

Dank alvast.

woensdag 22 mei 2013 22:59

Acties:

Zoijar

Because he doesn't row...

Twee keer md5 zonder nut. Het gebruiken van md5 voor crypto. Niet gebruiker+wachtwoord in een keer uit je database halen. SQL injectiegevoelig.

Kortom

http://www.wikihow.com/Cr...n-Script-in-PHP-and-MySQL

woensdag 22 mei 2013 23:37

Acties:

NMe

Quia Ego Sic Dico.

Logica en layout scheiden. Fatsoenlijk indenten. HTML in quirks mode. mysql_-functies zijn deprecated.

Maar bovenal is het niet de bedoeling dat je hier een compleet script dumpt en wij daar dan commentaar op gaan geven. Specifieke vragen willen we best voor je beantwoorden maar we zijn geen gratis testteam.

Zoijar schreef op woensdag 22 mei 2013 @ 22:59:
Twee keer md5 zonder nut.

Niet alleen zonder nut, het maakt het zelfde onveiliger omdat je een stukje entropie kwijtraakt.

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.