Session help

strafeness1 · 23 Januari 2012

Halllo,

Ik ben bezig met een login systeem.Ik wil gebruikers niet opnieuw laten inloggen, en de handigste en veiligste manier hiervoor is $_SESSION, denk ik. Iedereen keer als ik de site herlaad zou ik dus nog ingelogd moeten zijn, maar helaas ben ik dan weer uitgelogd. Kan iemand mij helpen?

Dit is mijn script:

PHP

<?php
ignore_user_abort === FALSE;
include('config.php');
$password1 = htmlspecialchars($_POST['password'], ENT_QUOTES); // Encrypt wachtwoord.
$password = sha1(md5(hash('sha512',$password1)));
$username = htmlspecialchars($_POST['username'], ENT_QUOTES); // Gebruikt html specialchars om XSS exploit te voorkomen.
if (isset($_POST['login']) && $username !="" && $password != ""){
$controleer = mysql_query("SELECT * FROM `users` WHERE `username`='".mysql_real_escape_string($username)."' AND `password`='".mysql_real_escape_string($password)."' AND `admin`='1'") or die (mysql_error());
$admin = mysql_num_rows($controleer);
if ($admin == 1){
session_start();
session_regenerate_id (true); //Voorkomt session fixed attacks. 
$_SESSION['usr_name'] = $username; 
$naam = mysql_fetch_object($controleer);
}
}
?>
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<title>Crystal ACP</title>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
<link href="style.css" rel="stylesheet" type="text/css" />
</head>
<body>
<div class="main">
  <div class="blok_header">
    <div class="header">
      <div class="logo"> <a href="index.html"><img src="images/logo.gif" width="349" height="98" border="0" alt="logo" class="one" /></a> </div>
      <div class="galeria">
        <p><a href="#" class="thre"><img src="images/spacer.gif" alt="pisture" width="24" height="23" border="0" /></a> <a href="#" class="sek"><img src="images/spacer.gif" alt="pisture" width="24" height="23" border="0" /></a> <a href="#" class="first"><img src="images/spacer.gif" alt="pisture" width="24" height="23" border="0" /></a> </p>
      </div>
    </div>
    <div class="clr"></div>
  </div>
  <?php
   if (!isset($_SESSION['usr_name'])){ ?>
  <div class="menu_resize_bg">
    <div class="menu_resize">
      <div class="menu">
        <ul>
          <li><a href="index.php"><span>User login</span></a></li>
		  <li><a href="show.html"><span>Features</span></a></li>
        </ul>
      </div>
	  <div class="clr"></div>
  <div class="body_resize">
    <div class="body">
<center>
<form method="post">
<b>This page is for Crystal Administrators only</b>
<br>
Username:<input type="textbox" name="username">
<br>
Password:<input type="password" name="password">
<br>
<input type="submit" value="login" name="login">
</div>
      <div class="clr"></div>
    </div>
    <div class="clr"></div>
  </div>
<? }
elseif (isset($_SESSION['usr_name'])){ 
?>
<div class="menu_resize_bg">
    <div class="menu_resize">
      <div class="menu">
        <ul>
          <li><a href="admin.php" class="active"><span>Users</span></a></li>
		  <li><a href="serial.php"><span>Creat serial</span></a></li>
        </ul>
      </div>
	  <div class="clr"></div>
  <div class="body_resize">
    <div class="body">
	<form method="post">
<center>Welcome <?echo $_SESSION['usr_name'];?></center>
<table width="100%" cellspacing="2" cellpadding="2">
            <tr><td>Username:</td><td>Serial:</td></tr>
			<?php
$userstel = mysql_query("SELECT * FROM `users`");
while($userstellen = mysql_fetch_object($userstel)){ ?>
			<tr>
			<td><?if ($userstellen->admin >0){echo "<font color=red>";} echo $userstellen->username;if($userstellen->admin >0){echo "</font>";}?></td>
			<td><? echo $userstellen->serial;?></td>
			</tr>
			<? }?>
        </table>
		<br /> <br /> <br />
		</table>			
<? } ?>

Toon Meer

FrankY · 23 Januari 2012

session_start(); moet helemaal boven aan. Denk dat het dan wel doet.

strafeness1 · 23 Januari 2012

Citaat van FrankY

session_start(); moet helemaal boven aan. Denk dat het dan wel doet.

Ik wil dat hij alleen de session start als de gebruiker is gevonden met de opgegeven username en password.

Als ik hem helemaal boven aan zet krijg ik deze error:

Warning: Unknown: Your script possibly relies on a session side-effect which existed until PHP 4.2.3. Please be advised that the session extension does not consider global variables as a source of data, unless register_globals is enabled. You can disable this functionality and this warning by setting session.bug_compat_42 or session.bug_compat_warn to off, respectively in Unknown on line 0

Tim · 23 Januari 2012

Google?

Verder is cookie net zo veilig als Session...
Wist je dat aan een session een cookie zit vastgeplakt?

strafeness1 · 23 Januari 2012

Citaat van BrokenTrack

Google?

Verder is cookie net zo veilig als Session...
Wist je dat aan een session een cookie zit vastgeplakt?

Heb ik al geprobeerd, maar helaas niks kunnen vinden. Ohh, op internet dacht ik te lezen dat $_SESSION veiliger is.

Nieuwe reactie samengevoegd met originele reactie op 23.01.12 14:39:36:
Heb het ondertussen al gefixt. Bedankt.

pekelterror · 23 Januari 2012

@BrokenTrack

Session is toch echt veiliger, maar je hebt wel gelijk dat de client dan een cookie krijgt daarvan.

Dit is echter niets meer dan een 32 tekens lange cijfer/letter combinatie.
En die kraak je niet zomaar (Al helemaal niet als je ook nog een $_SESSION['ip'] aanmaakt met daarin het IP van de inlog, die gelijk moet zijn bij bepaalde handelingen)

Terwijl een $_COOKIE zo is aangepast.

Een inlog met een $_SESSION['usr_name'] zoals in voorbeeld kun je niet zomaar even de naam aanpassen.
Terwijl dat bij $_COOKIE['usr_name'] in enkele seconden is gedaan.

Maar ontopic: Fijn dat je eruit bent gekomen.
Wat was precies het probleem, misschien zijn er meer mensen met een soortgelijk probleem.

Tim · 23 Januari 2012

Session is aanpasbaar. Cookie is aanpasbaar.

Oftewel, beveilig gewoon de waardes Dan maakt het niet meer uit wat je doet qua beveiliging.

Het klopt dat je het niet 'even' doet bij een session. Maar uiteindelijk komt het wel op hetzelfde neer.

Darsstar · 23 Januari 2012

Koppel een extra cookie aan je sessie.
Sign je cookies: http://kohanaframework.org/3.2/guide/api/Cookie#set
Gebruik bcrypt + hmac: http://www.criminalspoint.com/…t-hmac-password-hash.html
Pas de locatie van sessies aan als je op een shared server zit.
Die hash van jou is zo veilig als een MD5 hash, zo niet minder veilig. Zwakste schakel en alles.

*hoopt dat het interwebz me dit nu eindelijk laat posten en ik het niet nog een keer opnieuw hoef te typen*

Smarty Update

een eigen cloud sever

DNS update Directadmin

Graag advies voor mijn website

Ik wil op afstand studeren, kennen jullie Tech?

PC probleem

Let op Vimexx klanten

wie kan mij helpen met Security aanscherpen voor nmijn website

Bijna 300 Nieuwe domeinnamen Mei 2024

Dating software

250 Nieuwe domeinnamen April 2024

Session help

Participate now!

ING Nederland streeft naar ondersteuning van Google Pay tegen eind februari

Het Belang van Standaardisatie

De Revolutionaire Rol van IT in Alzheimeronderzoek

Functioneel ontwerp

Access Control List implementatie in PHP/MySQL - deel 1/2

Access Control List implementatie in PHP/MySQL - deel 2/2

Delen

Gebruikers die dit topic bekijken