Inlog systeem

monoglobe

heey mensen,

ik heb op het moment een werkend register script, en een login gemaakt. Maar ik wil nu op de homepage, van mijn site, het login formpje late verandere in iets anders (een paar optie's) als je ingelogd bent, maar als je niet ingelogd bent, moet dat gewoon het formpje blijven.
kan iemand mij vertelle hoe

alvast bedankt.

Jordy.S

Post effe je script

monoglobe

men script is ingeboud in men hele website,
ik zal alleen het php gedeelte paste,
of wil je alles?

pekelterror

PHP

if(isset($_SESSION['session-die-je-zet-na-inlog'])){
// code hier
} else {
// de andere code hier
}

monoglobe

Citaat van pekelterror

PHP

if(isset($_SESSION['session-die-je-zet-na-inlog'])){
// code hier
} else {
// de andere code hier
}

ik ga het even proberen. alvast bedankt

R.Jipping

Doe je het via sessions? Dan zal het zo worden:

PHP

<?
session_start(); 
// boven aan je pagina
?>


<?php
if(empty($_SESSION['login']))  
{ 
// controleren als de sessie login bestaat
?>


Je form hier


<?
}
else
{
// indien hij er wel is tekst weergeven
?>


Ingelogde tekst hier.


<?
}
// sleuten
?>

Toon Meer

monoglobe

ik werk niet met een session,
dit is mijn script:

PHP

<?//Checks if there is a login cookie
if(isset($_COOKIE['ID_my_site']))


//if there is, it logs you in and directes you to the members page
{
$name = $_COOKIE['ID_my_site'];
$password = $_COOKIE['Key_my_site'];
$check = mysql_query("SELECT * FROM site WHERE name = '$name'")or die(mysql_error());
while($info = mysql_fetch_array( $check ))
{
if ($password != $info['password'])
{
}
else
{
header("Location: http://stikkie.site11.com");


}
}
}


//if the login form is submitted
if (isset($_POST['submit'])) { // if form has been submitted


// makes sure they filled it in
if(!$_POST['name'] | !$_POST['password']) {
die('You did not fill in a required field.');
}
// checks it against the database


if (!get_magic_quotes_gpc()) {
$_POST['email'] = addslashes($_POST['email']);
}
$check = mysql_query("SELECT * FROM site WHERE name = '".$_POST['name']."'")or die(mysql_error());


//Gives error if user dosen't exist
$check2 = mysql_num_rows($check);
if ($check2 == 0) {
die('That user does not exist in our database. <a href=add.php>Click Here to Register</a>');
}
while($info = mysql_fetch_array( $check ))
{
$_POST['password'] = stripslashes($_POST['password']);
$info['password'] = stripslashes($info['password']);
$_POST['password'] = $_POST['password'];


//gives error if the password is wrong
if ($_POST['password'] != $info['password']) {
die('Incorrect password, please try again.');
}
else
{


// if login is ok then we add a cookie
$_POST['name'] = stripslashes($_POST['name']);
$hour = time() + 60;
setcookie("ID_my_site", $_POST['name'], $hour);
setcookie("Key_my_site", $_POST['password'], $hour);


//then redirect them to the members area
echo "<script>alert('you logged in successfuly!')</script>";
header("Location: http://stikkie.site11.com/");
}
}
}
else
{


// if they are not logged in
}?>
<html>
<body>
			<form action="<?php echo $_SERVER['PHP_SELF']?>" method="post">
<table border="0">
<tr><td>name:</td><td>
<input type="text" name="name" maxlength="40">
</td></tr>
<tr><td>pass:</td><td>
<input type="password" name="password" maxlength="50">
</td></tr>
<tr><td colspan="2" align="right">
<input type="submit" name="submit" value="Login">
</td></tr>
</table>
</form>	</html></body>

Toon Meer

pekelterror

het zelfde is mogelijk met cookies.
Echter raad ik cookies af aangezien die door de gebruiker te wijzigen zijn.

Stel u heet administrator en ik verander me cookie: ID_my_site in Administrator.
refresh een keer en klaar, zit op uw account.

Voor meer informatie zie:
http://nl2.php.net/manual/en/book.session.php

Pekeltje

Superior

pekelterror
Niet als je die cookie in een [func]sha1[/func] of een [func]md5[/func] hash gooit.

Denk dan wel erom dat je meer in die cookie opslaat:

- Gebruikers ID
- Wachtwoord gebruiker
- User agent gegevens

Deze werp je in een hash, en hij is direct al een stuk veiliger.

pekelterror

In dat geval is het wel veilig inderdaad.

Dus hash je cookies of gebruik sessions

monoglobe

pekel kan je mis het script omgooie naar sessions?
ik ben nieuw in php en weet niet zo veel xd

Superior

Sessies raad ik ook aan een hash van gegevens te gebruiken, hier heb je namelijk nog Session Hijacking lek in.

Werkt bijna hetzelfde als die cookies verhaal, wel iets moeilijker maar het lijkt er wel op.

Gegevens wat ik gebruik is:

- Users ID
- Users Wachtwoord
- Users IP
- Users user_agent

Samengevoegd in een, [func]sha1[/func] & [func]md5[/func].
Natuurlijk al gelijk een stuk veiliger, als je deze wilt ontcijferen ben je wel even bezig

pekelterror

Probeer het zo eens.

PHP

<?php //Checks if there is a login cookie
if(isset($_SESSION['ID_my_site']))


//if there is, it logs you in and directes you to the members page
{
$name = $_SESSION['ID_my_site'];
$password = $_SESSION['Key_my_site'];
$check = mysql_query("SELECT * FROM site WHERE name = '$name'")or die(mysql_error());
while($info = mysql_fetch_array( $check ))
{
if ($password != $info['password'])
{
}
else
{
header("Location: http://stikkie.site11.com");


}
}
}


//if the login form is submitted
if (isset($_POST['submit'])) { // if form has been submitted


// makes sure they filled it in
if(!$_POST['name'] | !$_POST['password']) {
die('You did not fill in a required field.');
}
// checks it against the database


if (!get_magic_quotes_gpc()) {
$_POST['email'] = addslashes($_POST['email']);
}
$check = mysql_query("SELECT * FROM site WHERE name = '".$_POST['name']."'")or die(mysql_error());


//Gives error if user dosen't exist
$check2 = mysql_num_rows($check);
if ($check2 == 0) {
die('That user does not exist in our database. <a href=add.php>Click Here to Register</a>');
}
while($info = mysql_fetch_array( $check ))
{
$_POST['password'] = stripslashes($_POST['password']);
$info['password'] = stripslashes($info['password']);
$_POST['password'] = $_POST['password'];


//gives error if the password is wrong
if ($_POST['password'] != $info['password']) {
die('Incorrect password, please try again.');
}
else
{


// if login is ok then we add a cookie
$_POST['name'] = stripslashes($_POST['name']);
$_SESSION['ID_my_site'] = $_POST['name'];
$_SESSION['Key_my_site'] = $_POST['password'];


//then redirect them to the members area
echo "<script>alert('you logged in successfuly!')</script>";
header("Location: http://stikkie.site11.com/");
}
}
}
else
{


// if they are not logged in
}?>
<html>
<body>
            <form action="<?php echo $_SERVER['PHP_SELF']?>" method="post">
<table border="0">
<tr><td>name:</td><td>
<input type="text" name="name" maxlength="40">
</td></tr>
<tr><td>pass:</td><td>
<input type="password" name="password" maxlength="50">
</td></tr>
<tr><td colspan="2" align="right">
<input type="submit" name="submit" value="Login">
</td></tr>
</table>
</form>    </html></body>

Toon Meer

Verder zou ik ook het wachtwoord hashen.
Zie:
http://www.php.net/manual/en/function.hash-algos.php
http://php.net/manual/en/function.md5.php
http://php.net/manual/en/function.sha1.php

monoglobe

dat hebik allemaal nooit geweten.
is het veel werk om het te verandere in sessions?

pekelterror

Nee valt mee.
Als je het eenmaal weet is er kwa tijd niet echt verschil is cookies of sessions.

Superior & Monoglobe
Misschien is session_regenerate_id dan wel een goeie oplossing.
Telkens een ander session id, mocht deze gestolen worden is die toch alweer anders.

Of zoals Superior al zei controleren op ip en useragent.

Succes in elk geval.
Ik ben even eten :p

monoglobe

Citaat van pekelterror

Nee valt mee.
Als je het eenmaal weet is er kwa tijd niet echt verschil is cookies of sessions.
Superior & Monoglobe
Misschien is session_regenerate_id dan wel een goeie oplossing.
Telkens een ander session id, mocht deze gestolen worden is die toch alweer anders.
Of zoals Superior al zei controleren op ip en useragent.
Succes in elk geval.
Ik ben even eten :p

hahaha eetsmakelijk xd

en bedoelen jullie zo iets:

PHP

<?php
	//Start session
	session_start();
	$errmsg_arr = array();
	$errflag = false;	
	$link = mysql_connect(DB_HOST, DB_USER, DB_PASSWORD);
	if(!$link) {
		die('Failed to connect to server: ' . mysql_error());
	}	
	$db = mysql_select_db(DB_DATABASE);
	if(!$db) {
		die("Unable to select database");
	}
	function clean($str) {
		$str = @trim($str);
		if(get_magic_quotes_gpc()) {
			$str = stripslashes($str);
		}
		return mysql_real_escape_string($str);
	}
	$login = clean($_POST['login']);
	$password = clean($_POST['password']);
	if($login == '') {
		$errmsg_arr[] = 'Login ID missing';
		$errflag = true;
	}
	if($password == '') {
		$errmsg_arr[] = 'Password missing';
		$errflag = true;
	}
	if($errflag) {
		$_SESSION['ERRMSG_ARR'] = $errmsg_arr;
		session_write_close();
		header("location: login-form.php");
		exit();
	}
	$qry="SELECT * FROM members WHERE login='$login' AND passwd='".md5($_POST['password'])."'";
	$result=mysql_query($qry);
	if($result) {
		if(mysql_num_rows($result) == 1) {
			session_regenerate_id();
			$member = mysql_fetch_assoc($result);
			$_SESSION['SESS_MEMBER_ID'] = $member['member_id'];
			$_SESSION['SESS_FIRST_NAME'] = $member['firstname'];
			$_SESSION['SESS_LAST_NAME'] = $member['lastname'];
			session_write_close();
			header("location: member-index.php");
			exit();
		}else {
			header("location: login-failed.php");
			exit();
		}
	}else {
		die("Query failed");
	}
?>

Toon Meer

pekelterror

Nee bijvoorbeeld:

PHP

$_POST['password']

Word:

PHP

md5($_POST['password']);

of:

PHP

sha1($_POST['password']);

Combinaties zijn ook mogelijk.

PHP

md5(sha1($_POST['password']));

of:

PHP

sha1(md5($_POST['password']));

Zo zijn er nog vele andere soorten hash methodes.
Denk er wel op dat dit ook bij registreer op deze manier moet worden ingevoerd.

doe je bij registratie md5, sha1 doe dat dan ook bij de inlog.

Hoop je hier voldoende mee geholpen te hebben.

Pekeltje

L.Groot

pekelterror:
Je vergeet iets te vermelden:
Sla deze gegevens ook op in de database, dus dat je bent ingelogd, incl. het IP.
Anders kun je het namelijk nooit meer controleren
Je kan MD5 / SHA1 combinaties namelijk niet meer decoderen

Succes ermee!

Lars

monoglobe

jah met md5 weet ik, maar ik wil hem late werken,
dat het invul formulier, verandert naar bijv:
change password
logout
etc.
etc.

pekelterror

PHP

if(isset($_SESSION['session-die-je-zet-na-inlog'])){
// session bestaat dus gebruiker is ingelogd.
// change password, logout enzovoort.
} else {
// gebruiker is niet ingelogd dus inlogformulier laten zien.
}

En inderdaad zoals lars al zei het ip opslaan in de database en controleren of deze gelijk is aan het huidige IP.

Dit omdat er anders met XSS de cookie (Waar de session instaat) uitgelezen kan worden en kan worden misbruikt.

Lees bijvoorbeeld:
http://www.phphulp.nl/php/tutorial/b…/inleiding/973/

ICTscripters

Dé plek voor IT

Dé plek voor IT

Beta-testers gezocht voor Crypto-oefenplatform

Na 15 jaar terug van weggeweest: iCriminals.nl is terug (BETA)!

Developer Gezocht

Op zoek naar de legends

[FREE] WeFact Hosting module

Help testers nodig voor android app Urgent

Versio vervanger

Afspraken systeem met planbeperking

350 Nieuwe Domeinnamen Januari 2026

321 Nieuwe Domeinnamen December 2025

Meerdere mafia game template te koop

Inlog systeem

Participate now!

Fijne feestdagen

Kritieke update voor Really Simple Security-plug-in

ING Nederland streeft naar ondersteuning van Google Pay tegen eind februari

Functioneel ontwerp

Access Control List implementatie in PHP/MySQL - deel 1/2

Access Control List implementatie in PHP/MySQL - deel 2/2

Gebruikers die dit topic bekijken