Toon posts:

[php] Beveiliging site

Pagina: 1
Acties:

Onderwerpen

Php

vrijdag 10 oktober 2003 17:35

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
ik ben bezig met een site en met de beveiliging daar van maar nou was mn vraag hoe veilig is het zo

ik login via een script welke het wachtwoord en gebruiker controleerd. deze staan beide als md5 code in de php file. en als het wachtwoord en gebruiker ok zijn wordt er een sessie gestart waar alle volgende scripts naar kijken.

is dit veilig of is dit zo lek als een mandje ?

[ Voor 1% gewijzigd door Verwijderd op 10-10-2003 17:44 . Reden: tja spellen is ook moeilijk ]

vrijdag 10 oktober 2003 17:36

Acties:
  • 0 Henk 'm!
  • gorgi_19
  • Registratie: Mei 2002
  • Laatst online: 18-09 17:06

gorgi_19

Kruimeltjes zijn weer op :9

Lees P&W FAQ - Hoe beveilig ik een website? ook eens. :)

Digitaal onderwijsmateriaal, leermateriaal voor hbo

vrijdag 10 oktober 2003 17:38

Acties:
  • 0 Henk 'm!
  • Akerboom
  • Registratie: Juni 2001
  • Laatst online: 07-07 16:30

Akerboom

Codito, ergo sum

-

[ Voor 186% gewijzigd door Akerboom op 10-10-2003 18:49 ]

vrijdag 10 oktober 2003 18:04

Acties:
  • 0 Henk 'm!

Verwijderd

Wat is het nut van een gebruikersnaam in MD5 te plaatsen??? :7

vrijdag 10 oktober 2003 18:14

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
was meer van de gedachte dat het dan niet als pure text in het php bestand staat.. en md5 was niet terug te coderen is me wel eens gezegt

vrijdag 10 oktober 2003 18:16

Acties:
  • 0 Henk 'm!
  • .oisyn
  • Registratie: September 2000
  • Laatst online: 17-09 14:05

.oisyn

Moderator Devschuur®

Demotivational Speaker

Ja maar waarom de username? Daar is toch niets geheims aan? En ik neem aan dat je wel wilt zien wat de usernames van de geregistreerde gebruikers zijn, of niet? :)

Give a man a game and he'll have fun for a day. Teach a man to make games and he'll never have fun again.

vrijdag 10 oktober 2003 18:23

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
er komen op die site alleen een paar beheerders accounts welke de database kunnen veranderen. de standaard webserver account heeft alleen select rechten in de mysql db

vrijdag 10 oktober 2003 18:49

Acties:
  • 0 Henk 'm!
  • cdgrit
  • Registratie: Mei 2002
  • Laatst online: 13-01 16:44

cdgrit

Dit lijkt me zéér veilig!


Originele startpagina - Stadindex.nl

vrijdag 10 oktober 2003 18:56

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
cdgrit schreef op 10 October 2003 @ 18:49:
Dit lijkt me zéér veilig!
beter te veilig dan niet..
ik laat alle query's controleren op bepaalde woorden zoals insert, drop enz.
en ik zal maandag met mysql_escape_string alle query's laten controleren

vrijdag 10 oktober 2003 19:55

Acties:
  • 0 Henk 'm!
  • faabman
  • Registratie: Januari 2001
  • Laatst online: 08-08-2024

faabman

Verwijderd schreef op 10 October 2003 @ 18:56:
[...]


beter te veilig dan niet..
ik laat alle query's controleren op bepaalde woorden zoals insert, drop enz.
en ik zal maandag met mysql_escape_string alle query's laten controleren
Volgens mij hoef je je queries helemaal niet op die woorden te laten filteren, als je er maar voor zorgt dat alles tussen quotes blijft staan (een qoute dus ook altijd vervangen door een dubbelle qoute) en een numerieke waarde ook echt numeriek blijft. stored procs in sqlserver vangen dit verhaal automagisch op, misschien heeft mysql ook die mogelijkheid

je usernames hashed in je db zetten lijkt me nutteloos, wachtwoorden kan ik nog inkomen, al heb ik eens een app gezien waarin een one-way hash stond, dus, het wachtwoord was niet terug te vragen, lekker handig als je gebruikers hun wachtwoord vergeten :X

Op zoek naar een baan als Coldfusion webdeveloper? Mail me!

vrijdag 10 oktober 2003 20:26

Acties:
  • 0 Henk 'm!

Verwijderd

FvKnijff schreef op 10 October 2003 @ 19:55:
[...]


je usernames hashed in je db zetten lijkt me nutteloos, wachtwoorden kan ik nog inkomen, al heb ik eens een app gezien waarin een one-way hash stond, dus, het wachtwoord was niet terug te vragen, lekker handig als je gebruikers hun wachtwoord vergeten :X
Stuur ze een nieuw wachtwoord aan de hand van hun opgegeven e-mail account. Bij nieuwe gebruikers een activatie code sturen. Is toch niet zo dom?

vrijdag 10 oktober 2003 23:21

Acties:
  • 0 Henk 'm!
  • MisterData
  • Registratie: September 2001
  • Laatst online: 29-08 20:29

MisterData

Hou je er rekening mee dat het wachtwoord als plain-text over het net gaat? Dus met een beetje sniffer kan ik zo het wachtwoord van m'n buurman zien... Hoe los je dat op? Zoek es met Google op steekwoorden als MD5 challenge icm PHP :)

Voor een voorbeeld dat gebruik maakt van client-side MD5-encryptie met een door de server bepaalde hash kun je vinden op http://v2.tragbenchmark.nl/login.php :)

zaterdag 11 oktober 2003 10:04

Acties:
  • 0 Henk 'm!
  • Willem2
  • Registratie: Oktober 2000
  • Laatst online: 05-09 07:32

Willem2

Ω is futile

Je kunt de login ook over HTTPS laten lopen; dan wordt het iig niet als plaintext verstuurd...
MD5 gebruiken en vervolgens login via HTTP klinkt mij een beetje als een vlag op een modderschuit in de oren!

en nee, ik houd niet van voetbal... :)

zaterdag 11 oktober 2003 10:08

Acties:
  • 0 Henk 'm!
  • djluc
  • Registratie: Oktober 2002
  • Laatst online: 18-09 16:51

djluc

Verwijderd schreef op 10 oktober 2003 @ 18:56:
[...]
beter te veilig dan niet..
ik laat alle query's controleren op bepaalde woorden zoals insert, drop enz.
en ik zal maandag met mysql_escape_string alle query's laten controleren
Heeft de gebruiker waaronder de website loopt dan rechten om drop statements uit te voeren?

zaterdag 11 oktober 2003 12:38

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
alleen de beheerders accounts hebben die rechten voor drop en dergelijke
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq