• Halllo,


    Ik ben bezig met een login systeem.Ik wil gebruikers niet opnieuw laten inloggen, en de handigste en veiligste manier hiervoor is $_SESSION, denk ik. Iedereen keer als ik de site herlaad zou ik dus nog ingelogd moeten zijn, maar helaas ben ik dan weer uitgelogd. Kan iemand mij helpen?


    Dit is mijn script:

  • Citaat van FrankY

    session_start(); moet helemaal boven aan. Denk dat het dan wel doet.


    Ik wil dat hij alleen de session start als de gebruiker is gevonden met de opgegeven username en password.


    Als ik hem helemaal boven aan zet krijg ik deze error:


    Warning: Unknown: Your script possibly relies on a session side-effect which existed until PHP 4.2.3. Please be advised that the session extension does not consider global variables as a source of data, unless register_globals is enabled. You can disable this functionality and this warning by setting session.bug_compat_42 or session.bug_compat_warn to off, respectively in Unknown on line 0

  • Citaat van BrokenTrack

    Google? :)


    Verder is cookie net zo veilig als Session...
    Wist je dat aan een session een cookie zit vastgeplakt?


    Heb ik al geprobeerd, maar helaas niks kunnen vinden. Ohh, op internet dacht ik te lezen dat $_SESSION veiliger is.

    Nieuwe reactie samengevoegd met originele reactie op 23.01.12 14:39:36:
    Heb het ondertussen al gefixt. Bedankt.

  • @BrokenTrack


    Session is toch echt veiliger, maar je hebt wel gelijk dat de client dan een cookie krijgt daarvan.


    Dit is echter niets meer dan een 32 tekens lange cijfer/letter combinatie.
    En die kraak je niet zomaar (Al helemaal niet als je ook nog een $_SESSION['ip'] aanmaakt met daarin het IP van de inlog, die gelijk moet zijn bij bepaalde handelingen)


    Terwijl een $_COOKIE zo is aangepast.


    Een inlog met een $_SESSION['usr_name'] zoals in voorbeeld kun je niet zomaar even de naam aanpassen.
    Terwijl dat bij $_COOKIE['usr_name'] in enkele seconden is gedaan.


    Maar ontopic: Fijn dat je eruit bent gekomen.
    Wat was precies het probleem, misschien zijn er meer mensen met een soortgelijk probleem.

  • Koppel een extra cookie aan je sessie.
    Sign je cookies: http://kohanaframework.org/3.2/guide/api/Cookie#set
    Gebruik bcrypt + hmac: http://www.criminalspoint.com/…t-hmac-password-hash.html
    Pas de locatie van sessies aan als je op een shared server zit.
    Die hash van jou is zo veilig als een MD5 hash, zo niet minder veilig. Zwakste schakel en alles.


    *hoopt dat het interwebz me dit nu eindelijk laat posten en ik het niet nog een keer opnieuw hoef te typen*

Participate now!

Heb je nog geen account? Registreer je nu en word deel van onze community!