Toon posts:

[PHP/MySQL] Beveiling met sessies

Pagina: 1
Acties:

Onderwerpen

Php

vrijdag 13 februari 2004 10:46

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Ik ben bezig met een website en ben nu bezig met de beveiliging.
Ik had het volgende in gedachten.
Als men inlogt wordt er eerst gecontroleerd of de gebruiker in de database staat. Is dat zo, dan wordt er een sessie gestart. Aan die sessie worden de volgende variabelen toegevoegd: IP-adres(MD5 coded), gebruikersNaam, wachtwoord, en een hash van alle sessie variabelen(MD5 coded).

Elke keer als er een andere pagina wordt geopend worden alle variabelen in de sessie gecontroleerd.

Is dit een beetje redelijke beveiling?

vrijdag 13 februari 2004 11:12

Acties:
  • 0 Henk 'm!
  • ripexx
  • Registratie: Juli 2002
  • Laatst online: 17:49

ripexx

bibs

Zie ook het volgende topic: [rml][ php] User authenticatie veilig? "Hacker-proof"?[/rml]

Hierin wordt een hoop besproken met betrekking tot beveiliging.

Bij mijn site werkt het vrij eenvoudig, ik maak gebruik van php sessies en kijk of iemand ingelogged is. Login gebeurt door middel van een user/pass combo welke wordt vergeleken met de db. Bij elke pagina wordt er gekeken of men ingelogged is, zo niet wordt men terug gestuurd naar de login.

Ik zie het nu niet in van een ip-adres md5 gecodeerd op te slaan? Daarnaast sla ik geen wachtwoorden op, levert alleen maar mogelijke problemen op. Zover ik weet, wordt de php sessie id opgelsagen in een cookie. De sessie data wordt op de server opgeslagen. In mijn geval log ik in de sessie alleen een timestamp, uid plus nog een aantal kleinere zaken. Aan de hand van die gegevens wordt de loginstatus bepaald. :)

Als laatste is het moeijlijk te zeggen of je beveiliging echt goed is. Zonder code weten we weinig. Als je principe goed is wil niet zeggen dat het uiteindelijk ook veilig is. Zeker het aanspreken van een db en het omgaan met userdata zijn mogelijke probleem gebieden. :)

buit is binnen sukkel

vrijdag 13 februari 2004 11:39

Acties:
  • 0 Henk 'm!
  • Bosmonster
  • Registratie: Juni 2001
  • Laatst online: 18-09 16:28

Bosmonster

*zucht*

Zonder SSL is een inlog nooit 100% veilig (je verstuurt alles plain text), maar in de meeste gevallen hoeft dat ook niet. Probeer wel zo weinig mogelijk in de sessie op te slaan. In feite heb je alleen nodig een gebruikersnaam/id en eventueel een ip-adres om de combinatie veilig te stellen.

Als je user-gegevens nodig hebt kun je deze altijd ophalen aan de hand van de username/id.

[ Voor 15% gewijzigd door Bosmonster op 13-02-2004 11:41 ]

vrijdag 13 februari 2004 13:14

Acties:
  • 0 Henk 'm!
  • curry684
  • Registratie: Juni 2000
  • Laatst online: 06-09 00:37

curry684

left part of the evil twins

Je hebt vast en zeker al onze 10 schermen grote FAQ P&W FAQ - Hoe beveilig ik een website? doorgelezen voordat je deze vraag stelde? :)

Professionele website nodig?

vrijdag 13 februari 2004 13:34

Acties:
  • 0 Henk 'm!
  • glashio
  • Registratie: Oktober 2001
  • Laatst online: 18-09 10:13

glashio

C64 > AMIGA > PC

PHP Custom Session Handler Class

Misschien heb je er wat aan...
Zelf was ik ook nog opzoek naar een GOEDE tutorial over PHP sessions en de bijhorende GarbageProcess. Gebruiken GoT'ers hier het originele PHP-Process of laten ze gescheduled een Process (LINUX tool) runnen die oude sessie bestanden verwijderd ?

> Google Certified Searcher
> Make users so committed to Google that it would be painful to leave
> C64 Gospel
> [SjoQ] = SjoQing

Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq