[php] password controle

zaterdag 6 maart 2004 15:15

Acties:

0 Henk 'm!

Topicstarter

waarom wil dit niet lukken???

PHP:

if ($passwordcontrole == $password) 
            { 
            echo" Paswoorden komen niet overeen<br>"; 
            }

als ik ze leeg laat is hij goed, maar als ik wat invul (gelijk of ongelijk)
is hij fout???

heb al lopen zoeken (nu 2 dagen) maar het wil niet ...

mijn pc

zaterdag 6 maart 2004 15:46

Acties:

0 Henk 'm!

dingstje

Overigens komen die twee paswoorden wel overeen als ie door de if raakt. Als je wilt controleren of ze niet overeen komen moet je != gebruiken ipv ==

If you can't beat them, try harder

zaterdag 6 maart 2004 15:49

Acties:

0 Henk 'm!

darkrain

Moderator Discord

Geniet

Als aanvulling op dingstje:
Je zou er een else bij kunnen maken als het wel goed is.

Tweakers Discord

zaterdag 6 maart 2004 15:52

Acties:

0 Henk 'm!

Spider.007

* Tetragrammaton

Rusky schreef op 06 maart 2004 @ 15:15:
waarom wil dit niet lukken???
PHP:
1
2
3
4
if ($passwordcontrole == $password) 
            { 
            echo" Paswoorden komen niet overeen<br>"; 
            }
als ik ze leeg laat is hij goed, maar als ik wat invul (gelijk of ongelijk)
is hij fout???

heb al lopen zoeken (nu 2 dagen) maar het wil niet ...

Juiste code:

PHP:

1
2
3

if ($passwordcontrole == $password){ 
    echo" Paswoorden komen WEL overeen <br />"; 
}

[ Voor 5% gewijzigd door Spider.007 op 06-03-2004 15:52 ]

---
Prozium - The great nepenthe. Opiate of our masses. Glue of our great society. Salve and salvation, it has delivered us from pathos, from sorrow, the deepest chasms of melancholy and hate

zaterdag 6 maart 2004 15:53

Acties:

0 Henk 'm!

Verwijderd

Zefl gebruik ik het volgende op mijn username en paswoord te controleren:

code:

if ($_POST['username']!='' && $_POST['password']!='')
{
  $username = preg_replace('/[^a-zA-Z0-9_]/', '', $_POST['username']);
  $password = preg_replace('/[^a-zA-Z0-9_]/', '', $_POST['password']);
    
  $db_conn = mysql_connect($server, $db_user, $db_pass) 
  or die ("Database CONNECT Error"); 
  mysql_select_db($database, $db_conn);
  
  $query = "select * from tabel where username='$username' and
  pass='$password'";
  $result = mysql_query($query, $db_conn);
  if (mysql_num_rows($result) >0 )
  {
    $_SESSION['vadid_user'] = $username;
    echo "<META HTTP-EQUIV=\"Refresh\" CONTENT=0;URL=vervolgpagina.php>";
    exit;
  }
}

Werkt als een trein en nog geen manier gevonden om er langs te komen.

zaterdag 6 maart 2004 16:06

Acties:

0 Henk 'm!

Paul

VirtualMinds: Dat zit je alleen nog met het feit dat de wachtwoorden pain-text over internet gaan en plain-text in je database staan

Maar over challenge-response systemen valt genoeg te vinden

Die zijn namelijk WEL veilig, omdat je nergens een plain-text wachtwoord hebt en een sniffer / man-in-the-middle niets aan de data die over de lijn gaat heeft.

Als ik echter de code van de TS (en het zinnetje dat hij teruggooit) goed interpreteer is hij hier bezig met een registratieprocedure, en niet met een inlog-procedure.

Rusky: Als je wel met inlog-code bezig bent moet je ook even aan de gang met challenge-response

Tevens zou ik dan niet melden dat het wachtwoord fout is. Dan vertel je een hacker namelijk dat de username goed is

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

zaterdag 6 maart 2004 17:01

Acties:

0 Henk 'm!

We Are Borg

Moderator Wonen & Mobiliteit / General Chat

Spider.007 schreef op 06 maart 2004 @ 15:52:
[...]

Juiste code:
PHP:
1
2
3
if ($passwordcontrole == $password){ 
    echo" Paswoorden komen WEL overeen <br />"; 
}

Denk eerder:

<?
if ($passwordcontrole != $password){
echo" Paswoorden komen NIET overeen <br />";
}
?>

[ Voor 9% gewijzigd door We Are Borg op 06-03-2004 17:01 ]

zaterdag 6 maart 2004 17:07

Acties:

0 Henk 'm!

Spider.007

* Tetragrammaton

We Are Borg schreef op 06 maart 2004 @ 17:01:
[...]

Denk eerder:

<?
if ($passwordcontrole != $password){
echo" Paswoorden komen NIET overeen <br />";
}
?>

Het is net wat het doel is van de TS met deze if-statement... Feit is in ieder geval dat er momenteel een grove fout in zijn code zit. Ik denk dat de TS er goed aan doet om eens te beginnen met het doorlezen van de diverse handleidingen die er te vinden zijn

[ Voor 6% gewijzigd door Spider.007 op 06-03-2004 17:08 ]

---
Prozium - The great nepenthe. Opiate of our masses. Glue of our great society. Salve and salvation, it has delivered us from pathos, from sorrow, the deepest chasms of melancholy and hate

zaterdag 6 maart 2004 17:08

Acties:

0 Henk 'm!

We Are Borg

Moderator Wonen & Mobiliteit / General Chat

Spider.007 schreef op 06 maart 2004 @ 17:07:
[...]

Het is net wat het doel is van de TS met deze if-statement... Feit is in ieder geval dat er momenteel een grove fout in zijn code zit. Ik denk dat de TS er goed aan doet om eens te beginnen met het doorlezen van de diverse handleidingen die er te vinden zijn

Helemaal waar

. Daarnaast is het handig om te weten of je een formulier gebruikt (denk het wel) en zo ja, POST of GET?

zaterdag 6 maart 2004 17:14

Acties:

0 Henk 'm!

Verwijderd

We Are Borg schreef op 06 maart 2004 @ 17:08:

Helemaal waar . Daarnaast is het handig om te weten of je een formulier gebruikt (denk het wel) en zo ja, POST of GET?

Formulieren met wachtwoorden altijd met een POST request versturen.

zaterdag 6 maart 2004 17:16

Acties:

0 Henk 'm!

gorgi_19

Kruimeltjes zijn weer op :9

Verwijderd schreef op 06 maart 2004 @ 17:14:
[...]

Formulieren met wachtwoorden altijd met een POST request versturen.

Waarbij het effect alleen weer een beetje verdwijnt doordat 95% van de mensen vergeet om een evt. referrercheck in te bouwen.

Digitaal onderwijsmateriaal, leermateriaal voor hbo

zaterdag 6 maart 2004 17:28

Acties:

0 Henk 'm!

Verwijderd

gorgi_19 schreef op 06 maart 2004 @ 17:16:

Waarbij het effect alleen weer een beetje verdwijnt doordat 95% van de mensen vergeet om een evt. referrercheck in te bouwen.

Ik zou absoluut geen referrercheck inbouwen bij het inloggen of een dergelijke actie, omdat niet alle browsers in alle gevallen een referrer header meesturen. Volgens mij is dit ook niet verplicht. Waarom zou het schadelijk kunnen zijn als iemand zonder referrer header of met een referrer van een ander domein probeert in te loggen? Hij stuurt het wachtwoord mee, dus dit is bij hem bekend. Dan moet er dus gewoon gebeuren wat hij vraagt.

zaterdag 6 maart 2004 17:33

Acties:

0 Henk 'm!

gorgi_19

Kruimeltjes zijn weer op :9

Verwijderd schreef op 06 maart 2004 @ 17:28:
[...]

Ik zou absoluut geen referrercheck inbouwen bij het inloggen of een dergelijke actie, omdat niet alle browsers in alle gevallen een referrer header meesturen. Volgens mij is dit ook niet verplicht. Waarom zou het schadelijk kunnen zijn als iemand zonder referrer header of met een referrer van een ander domein probeert in te loggen? Hij stuurt het wachtwoord mee, dus dit is bij hem bekend. Dan moet er dus gewoon gebeuren wat hij vraagt.

Een referrer hoort dan OF leeg c.q. nothing te zijn OF jezelf als referrer te hebben. Wat het voordeel zou kunnen zijn? Je maakt het in ieder geval de zogenoemde 'doorway' scripts een stuk lastiger.

Digitaal onderwijsmateriaal, leermateriaal voor hbo

zondag 7 maart 2004 02:33

Acties:

0 Henk 'm!

curry684

left part of the evil twins

Paul Nieuwkamp schreef op 06 maart 2004 @ 16:06:
VirtualMinds: Dat zit je alleen nog met het feit dat de wachtwoorden pain-text over internet gaan en plain-text in je database staan

Maar over challenge-response systemen valt genoeg te vinden

Zelfs in onze grote mooie FAQ, in dezelfde PHP subsectie waar het hele verhaal over superglobals instaat wat topicstarter zoekt.

Maar Cheatah en gorgi_19 hebben er geloof ik al wel een interessante discussie van gemaakt dus ik laat dit nog maar even open

Professionele website nodig?

Onderwerpen