[PHP] Kijken welk input type

Nee, maar wat maakt het uit? Je bent toch alleen geinteresseerd in de waardes? Het wordt immers beiden als text verstuurd?

nope, da's niet mogelijk met het huidige HTTP/1.1 protocol als ik het mij goed herinner. De data word gewoon verstuurd als wachtwoord=blaataap&user=apperdeblaat . PHP kan dat dus nooit weten

[ Voor 34% gewijzigd door RSpliet op 20-04-2004 21:00 ]

Enige optie is om in een aparte hidden field mee te sturen wat voor type iedere textbox is.

Verwijderd schreef op 20 april 2004 @ 21:00:
[...]


Klopt maar in mijn geval wil ik dus altijd een wachtwoord md5 hashen terwijl de naam van het wachtwoord invoerveld dynamisch kan zijn.

Waarom is de naam van het invoerveld dynamisch, en zou je dit serverside nog willen md5'en?

Verwijderd schreef op 20 april 2004 @ 21:00:
[...]Klopt maar in mijn geval wil ik dus altijd een wachtwoord md5 hashen terwijl de naam van het wachtwoord invoerveld dynamisch kan zijn.

Vage methode vertel eens iets specifieker wat je van plan bent...

Verwijderd schreef op 20 april 2004 @ 21:11:
En ik dacht dit zo op te lossen maar ik zal toch echt weer in de xmlfile moeten kijken om te kijken of een veld een wachtwoord is

Dat lijkt me sowieso? Never trust user input.

[ Voor 34% gewijzigd door gorgi_19 op 20-04-2004 21:19 ]

je verstuurd je password dus zonder gehashed te zijn en doet dit hashen dus pas op de server weer dan is het alsnog niet veilig dus, kun je beter client side met javascript vast hashen lijkt me.

Verwijderd schreef op 20 april 2004 @ 21:23:
[...]

Ja daar heb je gelijk in maar dat is weer een andere discussie de pagina waar men data kan invoeren kan alleen bereikt worden door eerlijke burgers

dan nog, een quotje verkeerd typen kan al ernstige gevolgen hebben als je niet oplet, daarnaast, je kent _nooit_ je doelgroep echt 100%.

g00fy schreef op 20 april 2004 @ 21:41:
je verstuurd je password dus zonder gehashed te zijn en doet dit hashen dus pas op de server weer dan is het alsnog niet veilig dus, kun je beter client side met javascript vast hashen lijkt me.

hashed opslaan is veiliger dan in plain text, want om dataverkeer af te tappen moet je al meer moeite doen dan even in een file kijken wat het wachtwoord is.

Erkens schreef op 20 april 2004 @ 21:44:
[...]

dan nog, een quotje verkeerd typen kan al ernstige gevolgen hebben als je niet oplet, daarnaast, je kent _nooit_ je doelgroep echt 100%.


[...]

hashed opslaan is veiliger dan in plain text, want om dataverkeer af te tappen moet je al meer moeite doen dan even in een file kijken wat het wachtwoord is.

dat doe je dan dus toch ook....

hij wil het als plain-text versturen en dan hashen op de server, terwijl je die stap al client-side kunt doen. Op beide manieren sla je het hashed op. alleen bij client side verstuur je het al hashed dus heeft aftappen al geen zin meer, anders wel.

g00fy schreef op 20 april 2004 @ 21:47:
[...]

dat doe je dan dus toch ook....

hij wil het als plain-text versturen en dan hashen op de server, terwijl je die stap al client-side kunt doen. Op beide manieren sla je het hashed op. alleen bij client side verstuur je het al hashed dus heeft aftappen al geen zin meer, anders wel.

right, en dus vertrouw je wel op de client, iets wat je _nooit_ moet doen, want wat als de client geen of slechte javascript support heeft?
(daarnaast heeft het sturen van alleen een hash van het password ook geen nut als je daar niet een 'code' bij mee hashed die de server van te voren heeft bedacht, want anders pik je de hash op en maakt het niet uit wat het password is )

ja, tuurlijk moet je ook nog een 2e hash meesturen met bijv. naam, wachtwoord en een tijdscode oid die je van de server kreeg.

g00fy schreef op 20 april 2004 @ 21:41:
je verstuurd je password dus zonder gehashed te zijn en doet dit hashen dus pas op de server weer dan is het alsnog niet veilig dus, kun je beter client side met javascript vast hashen lijkt me.

Ik zie het punt niet zo, een kwaadwillende kan toch net zo goed de md5hash afvangen. Je server verwacht toch gehashte input. Als je het echt goed wil doen gebruik je dus zowel cliëntside als serverside een beveiligingsalgoritme dat afhankelijk is van iets gebruikersspecifieks, bijvoorbeeld de hostname of het ip-adres.

Anyway, ontopic: kun je niet zorgen dat in je XML-file wordt gezorgd dat de namen van passwords een prefix meekrijgen: "pw_name" ofzo. Met een beetje regex kun je dan passwords van de rest onderscheiden...