[php] Leden systeem beveiliging

zondag 26 januari 2003 15:40

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Hoi,
Ik ben met een leden systeem bezig, maar het is van groot belang dat die goed beveiligd is. Ik werk nu met Sessies en de paswoorden zijn gecodeerd. Als iemand inlogt word er natuurlijk gecheckt of zijn gegevens kloppen en als dat zo is worden user id in een sessie gestopt en daarmee check ik of die ingelogt is.

Is dit veilig zo nee hoe kan ik het nog beter beveiligen?

zondag 26 januari 2003 15:41

Acties:

0 Henk 'm!

RedHat

is veilig ja, doe ik ook

password -> MD5 DB
sessie in cookie samen met userid
die checken, als die goed zijn ben je ingelogt
bij inloggen ingevulde password naar md5 omzetten en die vergelijken met die uit de DB.

zondag 26 januari 2003 15:41

Acties:

0 Henk 'm!

chem

Reist de wereld rond

"ik heb een auto met een slot op de achterdeur en ik heb de enige sleutel, is dit veilig?"

Tsja, heb je de ramen wel dichtgedaan? Zit er een alarm op?

beetje vage vraag dus

Klaar voor een nieuwe uitdaging.

zondag 26 januari 2003 15:42

Acties:

0 Henk 'm!

Erkens

Fotograaf

Php

ligt natuurlijk hoe extreem je de beveiliging wilt

zolang je goed programmeert en regel 1 in acht neemt (vertrouw niet op userinput) lijkt me dat je veilig genoeg bezig bent

offtopic:
D2k: zie je wel, ik leer het

zondag 26 januari 2003 15:48

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Hmm kwam net wat tegen over "Custom session-handler" is dat beter dan de normalen sessie manier?

zondag 26 januari 2003 15:50

Acties:

0 Henk 'm!

chem

Reist de wereld rond

Weer zo'n klepel/klok vraag.

Wat voor antwoord verwacht je nou? "ja"? "nee"?

Als je verder geen verstand hebt van sessies zou het idd nog best zo lek kunnen zijn als een zeef, terwijl je toch de juiste technieken gebruikt.

Klaar voor een nieuwe uitdaging.

zondag 26 januari 2003 15:51

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Owke bedankt voor je vriendelijke antwoord.

zondag 26 januari 2003 15:53

Acties:

0 Henk 'm!

chem

Reist de wereld rond

Verwijderd schreef op 26 januari 2003 @ 15:51:
Owke bedankt voor je vriendelijke antwoord.

Geen probleem. Een goede, uitgebreide en doordachte vraag kan altijd rekenen op een goed antwoord.

Klaar voor een nieuwe uitdaging.

zondag 26 januari 2003 15:54

Acties:

0 Henk 'm!

djluc

vertrouw niet op userinput

Dat is idd het belangrijkste, alleen wat is vertrouwen? Bedoel je gegevens niet zomaar in je query plaatsen of doel je ergens anders op?

De vraag is idd niet echt goed gesteld, misschien moet je eens laten zien wat je al hebt, dan kan daar commentaar op geleverd worden, wat zeker zal gebeuren

)

zondag 26 januari 2003 15:57

Acties:

0 Henk 'm!

HunterPro

djluc schreef op 26 January 2003 @ 15:54:
[...]
Dat is idd het belangrijkste, alleen wat is vertrouwen? Bedoel je gegevens niet zomaar in je query plaatsen of doel je ergens anders op?

De vraag is idd niet echt goed gesteld, misschien moet je eens laten zien wat je al hebt, dan kan daar commentaar op geleverd worden, wat zeker zal gebeuren )

alles eerst checken op alle mogelijkheden (0.3 komt nog steeds door een isnumeric heen bijvoorbeeld) voordat je die gegevens gaat verwerken en toepassen in je script.

zondag 26 januari 2003 15:58

Acties:

0 Henk 'm!

Erkens

Fotograaf

Php

djluc schreef op 26 januari 2003 @ 15:54:
[...]
Dat is idd het belangrijkste, alleen wat is vertrouwen? Bedoel je gegevens niet zomaar in je query plaatsen of doel je ergens anders op?

onder andere, zo moet je niet iets rechtsteeks in je query stoppen, en ook die cookies moet je niet vertrouwen

zondag 26 januari 2003 16:11

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

PHP:

<?
if($login) {
    $user = trim($user);
    $password = trim($password);

    if($user == "") {
        $error_user = "- Fill in your user number.<br>";
        $ok = "nee";
    }
    
        $query = mysql_query("SELECT user, password FROM members WHERE user='$user'");
        while ($list = mysql_fetch_object($query)) {
    
        $md5 = md5($password);  
                    
    if($md5 != "$list->password" OR $password == "") {
        $error_password = "- Wrong password.<br>";
        $ok = "nee";
    }                   
    }
    if($ok != "nee") {
        $query = mysql_query("SELECT id FROM members WHERE user='$user'");
        while ($list = mysql_fetch_object($query)) {
        $_SESSION['id']= $list->id; 
        $time = time();
        $update = mysql_query("UPDATE members SET last='$time' WHERE id=$list->id");    
        echo "<script language=\"javascript\">window.location=\"index.php\"</script>";
      }
    }

?>

Dit heb ik nu voor het check gedeelte.

zondag 26 januari 2003 16:14

Acties:

0 Henk 'm!

Erkens

Fotograaf

Php

Verwijderd schreef op 26 januari 2003 @ 16:11:

PHP:

        $query = mysql_query("SELECT user, password FROM members WHERE user='$user'");
        while ($list = mysql_fetch_object($query)) {
    
        $md5 = md5($password);

Dit heb ik nu voor het check gedeelte.

waar komen $user, $password en $login enzo vandaan, daarnaast kan een addslashes geen kwaad

tevens vind ik het raar dat je het password aan mysql vraagt, waarom niet een select count from table where user=user and pass=md5(pass) ?

zondag 26 januari 2003 16:17

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Erkens schreef op 26 January 2003 @ 16:14:
[...]

waar komen $user, $password en $login enzo vandaan

Die komen vanuit een formulier als de persoon op de login knop drukt die genaamd $login is dat start ie dat gedeelte.

tevens vind ik het raar dat je het password aan mysql vraagt, waarom niet een select count from table where user=user and pass=md5(pass) ?

Hmm goed idee ja. Had ik niet aan gedacht.

zondag 26 januari 2003 16:26

Acties:

0 Henk 'm!

djluc

Die komen vanuit een formulier als de persoon op de login knop drukt die genaamd $login is dat start ie dat gedeelte.

Ik durf het haast niet te vragen, maar hoe staan je registery globals?

zondag 26 januari 2003 16:29

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

register_globals On On

zondag 26 januari 2003 16:54

Acties:

0 Henk 'm!

HunterPro

zondag 26 januari 2003 17:36

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

HunterPro schreef op 26 januari 2003 @ 16:54:

Jah eh daar heb ik niet veel een kan je me vertellen wat ik fout doe?

zondag 26 januari 2003 17:40

Acties:

0 Henk 'm!

Verwijderd

<offtopic>
gebruik binnenkort ook de nieuwe session_readonly() functie van PHP (nu alleen nog in CVS versie)
ideaal voor dit soort dingen.
http://nl.php.net/manual/nl/function.session-readonly.php
</offtopic>

zondag 26 januari 2003 18:12

Acties:

0 Henk 'm!

chem

Reist de wereld rond

PHP:

<?
if($login) { // waar komt $login vandaan?
    $user = trim($user);
    $password = trim($password);

    if($user == "") {
        $error_user = "- Fill in your user number.<br>";
        $ok = "nee";
    }
    
        $query = mysql_query("SELECT user, password FROM members WHERE user='$user'"); // $user door addslashes halen
        while ($list = mysql_fetch_object($query)) {
    
        $md5 = md5($password);  // while? als het goed is krijg je maar 1 record terug?
                    
    if($md5 != "$list->password" OR $password == "") { //$md5 != $list->password, geen "" gebruiken
        $error_password = "- Wrong password.<br>";
        $ok = "nee";
    }                   
    }
    if($ok != "nee") { // wat als iemand de pagina met $ok=ja aanroept? waarom dit als een aparte if?
        $query = mysql_query("SELECT id FROM members WHERE user='$user'");
        while ($list = mysql_fetch_object($query)) { // while?
        $_SESSION['id']= $list->id; 
        $time = time();
        $update = mysql_query("UPDATE members SET last='$time' WHERE id=$list->id");     // {$list->id}
        echo "<script language=\"javascript\">window.location=\"index.php\"</script>"; zet de hele zut tussen ' en verwijder de \
      }
    }

?>

kleine fixjes en ideeën, zal nog wel meer inzitten.

Klaar voor een nieuwe uitdaging.

zondag 26 januari 2003 19:56

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Hmmz owke.
Dit is niet het hele script hoor trouwens ik heb het formulier gedeelte weg gelaten en als iemand met $ok=ja aanvraagd dan is het toch alsnog anders dan nee dan gaat ie gewoon naar de else { die eronder nog hoord verder in het script.

zondag 26 januari 2003 20:03

Acties:

0 Henk 'm!

chem

Reist de wereld rond

Verwijderd schreef op 26 januari 2003 @ 19:56:
Hmmz owke.
Dit is niet het hele script hoor trouwens ik heb het formulier gedeelte weg gelaten en als iemand met $ok=ja aanvraagd dan is het toch alsnog anders dan nee dan gaat ie gewoon naar de else { die eronder nog hoord verder in het script.

Nee, dat komt hij niet. Als ik een bogus $user meegeef, zal hij de 1e check overslaan (als zijnde goed). De while-loop komt-ie logischerwijs niet in en $ok zal dus nooit 'nee' worden.

Klaar voor een nieuwe uitdaging.

Onderwerpen