Inlog systeem

monoglobe · 22 September 2010

heey mensen,

ik heb op het moment een werkend register script, en een login gemaakt. Maar ik wil nu op de homepage, van mijn site, het login formpje late verandere in iets anders (een paar optie's) als je ingelogd bent, maar als je niet ingelogd bent, moet dat gewoon het formpje blijven.
kan iemand mij vertelle hoe

alvast bedankt.

Jordy.S · 22 September 2010

Post effe je script

monoglobe · 22 September 2010

men script is ingeboud in men hele website,
ik zal alleen het php gedeelte paste,
of wil je alles?

pekelterror · 22 September 2010

PHP

if(isset($_SESSION['session-die-je-zet-na-inlog'])){
// code hier
} else {
// de andere code hier
}

monoglobe · 22 September 2010

Citaat van pekelterror

PHP

if(isset($_SESSION['session-die-je-zet-na-inlog'])){
// code hier
} else {
// de andere code hier
}

ik ga het even proberen. alvast bedankt

R.Jipping · 22 September 2010

Doe je het via sessions? Dan zal het zo worden:

PHP

<?
session_start(); 
// boven aan je pagina
?>


<?php
if(empty($_SESSION['login']))  
{ 
// controleren als de sessie login bestaat
?>


Je form hier


<?
}
else
{
// indien hij er wel is tekst weergeven
?>


Ingelogde tekst hier.


<?
}
// sleuten
?>

Toon Meer

monoglobe · 22 September 2010

ik werk niet met een session,
dit is mijn script:

PHP

<?//Checks if there is a login cookie
if(isset($_COOKIE['ID_my_site']))


//if there is, it logs you in and directes you to the members page
{
$name = $_COOKIE['ID_my_site'];
$password = $_COOKIE['Key_my_site'];
$check = mysql_query("SELECT * FROM site WHERE name = '$name'")or die(mysql_error());
while($info = mysql_fetch_array( $check ))
{
if ($password != $info['password'])
{
}
else
{
header("Location: http://stikkie.site11.com");


}
}
}


//if the login form is submitted
if (isset($_POST['submit'])) { // if form has been submitted


// makes sure they filled it in
if(!$_POST['name'] | !$_POST['password']) {
die('You did not fill in a required field.');
}
// checks it against the database


if (!get_magic_quotes_gpc()) {
$_POST['email'] = addslashes($_POST['email']);
}
$check = mysql_query("SELECT * FROM site WHERE name = '".$_POST['name']."'")or die(mysql_error());


//Gives error if user dosen't exist
$check2 = mysql_num_rows($check);
if ($check2 == 0) {
die('That user does not exist in our database. <a href=add.php>Click Here to Register</a>');
}
while($info = mysql_fetch_array( $check ))
{
$_POST['password'] = stripslashes($_POST['password']);
$info['password'] = stripslashes($info['password']);
$_POST['password'] = $_POST['password'];


//gives error if the password is wrong
if ($_POST['password'] != $info['password']) {
die('Incorrect password, please try again.');
}
else
{


// if login is ok then we add a cookie
$_POST['name'] = stripslashes($_POST['name']);
$hour = time() + 60;
setcookie("ID_my_site", $_POST['name'], $hour);
setcookie("Key_my_site", $_POST['password'], $hour);


//then redirect them to the members area
echo "<script>alert('you logged in successfuly!')</script>";
header("Location: http://stikkie.site11.com/");
}
}
}
else
{


// if they are not logged in
}?>
<html>
<body>
			<form action="<?php echo $_SERVER['PHP_SELF']?>" method="post">
<table border="0">
<tr><td>name:</td><td>
<input type="text" name="name" maxlength="40">
</td></tr>
<tr><td>pass:</td><td>
<input type="password" name="password" maxlength="50">
</td></tr>
<tr><td colspan="2" align="right">
<input type="submit" name="submit" value="Login">
</td></tr>
</table>
</form>	</html></body>

Toon Meer

pekelterror · 22 September 2010

het zelfde is mogelijk met cookies.
Echter raad ik cookies af aangezien die door de gebruiker te wijzigen zijn.

Stel u heet administrator en ik verander me cookie: ID_my_site in Administrator.
refresh een keer en klaar, zit op uw account.

Voor meer informatie zie:
http://nl2.php.net/manual/en/book.session.php

Pekeltje

Superior · 22 September 2010

pekelterror
Niet als je die cookie in een [func]sha1[/func] of een [func]md5[/func] hash gooit.

Denk dan wel erom dat je meer in die cookie opslaat:

- Gebruikers ID
- Wachtwoord gebruiker
- User agent gegevens

Deze werp je in een hash, en hij is direct al een stuk veiliger.

pekelterror · 22 September 2010

In dat geval is het wel veilig inderdaad.

Dus hash je cookies of gebruik sessions

monoglobe · 22 September 2010

pekel kan je mis het script omgooie naar sessions?
ik ben nieuw in php en weet niet zo veel xd

Superior · 22 September 2010

Sessies raad ik ook aan een hash van gegevens te gebruiken, hier heb je namelijk nog Session Hijacking lek in.

Werkt bijna hetzelfde als die cookies verhaal, wel iets moeilijker maar het lijkt er wel op.

Gegevens wat ik gebruik is:

- Users ID
- Users Wachtwoord
- Users IP
- Users user_agent

Samengevoegd in een, [func]sha1[/func] & [func]md5[/func].
Natuurlijk al gelijk een stuk veiliger, als je deze wilt ontcijferen ben je wel even bezig

pekelterror · 22 September 2010

Probeer het zo eens.

PHP

<?php //Checks if there is a login cookie
if(isset($_SESSION['ID_my_site']))


//if there is, it logs you in and directes you to the members page
{
$name = $_SESSION['ID_my_site'];
$password = $_SESSION['Key_my_site'];
$check = mysql_query("SELECT * FROM site WHERE name = '$name'")or die(mysql_error());
while($info = mysql_fetch_array( $check ))
{
if ($password != $info['password'])
{
}
else
{
header("Location: http://stikkie.site11.com");


}
}
}


//if the login form is submitted
if (isset($_POST['submit'])) { // if form has been submitted


// makes sure they filled it in
if(!$_POST['name'] | !$_POST['password']) {
die('You did not fill in a required field.');
}
// checks it against the database


if (!get_magic_quotes_gpc()) {
$_POST['email'] = addslashes($_POST['email']);
}
$check = mysql_query("SELECT * FROM site WHERE name = '".$_POST['name']."'")or die(mysql_error());


//Gives error if user dosen't exist
$check2 = mysql_num_rows($check);
if ($check2 == 0) {
die('That user does not exist in our database. <a href=add.php>Click Here to Register</a>');
}
while($info = mysql_fetch_array( $check ))
{
$_POST['password'] = stripslashes($_POST['password']);
$info['password'] = stripslashes($info['password']);
$_POST['password'] = $_POST['password'];


//gives error if the password is wrong
if ($_POST['password'] != $info['password']) {
die('Incorrect password, please try again.');
}
else
{


// if login is ok then we add a cookie
$_POST['name'] = stripslashes($_POST['name']);
$_SESSION['ID_my_site'] = $_POST['name'];
$_SESSION['Key_my_site'] = $_POST['password'];


//then redirect them to the members area
echo "<script>alert('you logged in successfuly!')</script>";
header("Location: http://stikkie.site11.com/");
}
}
}
else
{


// if they are not logged in
}?>
<html>
<body>
            <form action="<?php echo $_SERVER['PHP_SELF']?>" method="post">
<table border="0">
<tr><td>name:</td><td>
<input type="text" name="name" maxlength="40">
</td></tr>
<tr><td>pass:</td><td>
<input type="password" name="password" maxlength="50">
</td></tr>
<tr><td colspan="2" align="right">
<input type="submit" name="submit" value="Login">
</td></tr>
</table>
</form>    </html></body>

Toon Meer

Verder zou ik ook het wachtwoord hashen.
Zie:
http://www.php.net/manual/en/function.hash-algos.php
http://php.net/manual/en/function.md5.php
http://php.net/manual/en/function.sha1.php

monoglobe · 22 September 2010

dat hebik allemaal nooit geweten.
is het veel werk om het te verandere in sessions?

pekelterror · 22 September 2010

Nee valt mee.
Als je het eenmaal weet is er kwa tijd niet echt verschil is cookies of sessions.

Superior & Monoglobe
Misschien is session_regenerate_id dan wel een goeie oplossing.
Telkens een ander session id, mocht deze gestolen worden is die toch alweer anders.

Of zoals Superior al zei controleren op ip en useragent.

Succes in elk geval.
Ik ben even eten :p

monoglobe · 22 September 2010

Citaat van pekelterror

Nee valt mee.
Als je het eenmaal weet is er kwa tijd niet echt verschil is cookies of sessions.

Superior & Monoglobe
Misschien is session_regenerate_id dan wel een goeie oplossing.
Telkens een ander session id, mocht deze gestolen worden is die toch alweer anders.

Of zoals Superior al zei controleren op ip en useragent.

Succes in elk geval.
Ik ben even eten :p

Toon Meer

hahaha eetsmakelijk xd

en bedoelen jullie zo iets:

PHP

<?php
	//Start session
	session_start();
	$errmsg_arr = array();
	$errflag = false;	
	$link = mysql_connect(DB_HOST, DB_USER, DB_PASSWORD);
	if(!$link) {
		die('Failed to connect to server: ' . mysql_error());
	}	
	$db = mysql_select_db(DB_DATABASE);
	if(!$db) {
		die("Unable to select database");
	}
	function clean($str) {
		$str = @trim($str);
		if(get_magic_quotes_gpc()) {
			$str = stripslashes($str);
		}
		return mysql_real_escape_string($str);
	}
	$login = clean($_POST['login']);
	$password = clean($_POST['password']);
	if($login == '') {
		$errmsg_arr[] = 'Login ID missing';
		$errflag = true;
	}
	if($password == '') {
		$errmsg_arr[] = 'Password missing';
		$errflag = true;
	}
	if($errflag) {
		$_SESSION['ERRMSG_ARR'] = $errmsg_arr;
		session_write_close();
		header("location: login-form.php");
		exit();
	}
	$qry="SELECT * FROM members WHERE login='$login' AND passwd='".md5($_POST['password'])."'";
	$result=mysql_query($qry);
	if($result) {
		if(mysql_num_rows($result) == 1) {
			session_regenerate_id();
			$member = mysql_fetch_assoc($result);
			$_SESSION['SESS_MEMBER_ID'] = $member['member_id'];
			$_SESSION['SESS_FIRST_NAME'] = $member['firstname'];
			$_SESSION['SESS_LAST_NAME'] = $member['lastname'];
			session_write_close();
			header("location: member-index.php");
			exit();
		}else {
			header("location: login-failed.php");
			exit();
		}
	}else {
		die("Query failed");
	}
?>

Toon Meer

pekelterror · 22 September 2010

Nee bijvoorbeeld:

PHP

$_POST['password']

Word:

PHP

md5($_POST['password']);

of:

PHP

sha1($_POST['password']);

Combinaties zijn ook mogelijk.

PHP

md5(sha1($_POST['password']));

of:

PHP

sha1(md5($_POST['password']));

Zo zijn er nog vele andere soorten hash methodes.
Denk er wel op dat dit ook bij registreer op deze manier moet worden ingevoerd.

doe je bij registratie md5, sha1 doe dat dan ook bij de inlog.

Hoop je hier voldoende mee geholpen te hebben.

Pekeltje

L.Groot · 22 September 2010

pekelterror:
Je vergeet iets te vermelden:
Sla deze gegevens ook op in de database, dus dat je bent ingelogd, incl. het IP.
Anders kun je het namelijk nooit meer controleren
Je kan MD5 / SHA1 combinaties namelijk niet meer decoderen

Succes ermee!

Lars

monoglobe · 23 September 2010

jah met md5 weet ik, maar ik wil hem late werken,
dat het invul formulier, verandert naar bijv:
change password
logout
etc.
etc.

pekelterror · 23 September 2010

PHP

if(isset($_SESSION['session-die-je-zet-na-inlog'])){
// session bestaat dus gebruiker is ingelogd.
// change password, logout enzovoort.
} else {
// gebruiker is niet ingelogd dus inlogformulier laten zien.
}

En inderdaad zoals lars al zei het ip opslaan in de database en controleren of deze gelijk is aan het huidige IP.

Dit omdat er anders met XSS de cookie (Waar de session instaat) uitgelezen kan worden en kan worden misbruikt.

Lees bijvoorbeeld:
http://www.phphulp.nl/php/tuto…rsie-2/434/inleiding/973/

Partner Gezocht om meerdere NFT Collecties op Open Sea te Plaatsen

Plesk installer

cpanel / whm themes

PHP Point of Sale

Probleem omtrent Tinymce

Kunnen jullie mij helpen met deze enquete

een eigen cloud sever

Probleem C++ en CL

193 Nieuwe domeinnamen April 2025

228 Nieuwe domeinnamen Maart 2025

285 Nieuwe domeinnamen Februari 2025

Inlog systeem

Participate now!

Fijne feestdagen

Kritieke update voor Really Simple Security-plug-in

ING Nederland streeft naar ondersteuning van Google Pay tegen eind februari

Functioneel ontwerp

Access Control List implementatie in PHP/MySQL - deel 1/2

Access Control List implementatie in PHP/MySQL - deel 2/2

Delen