Session help

strafeness1

Halllo,

Ik ben bezig met een login systeem.Ik wil gebruikers niet opnieuw laten inloggen, en de handigste en veiligste manier hiervoor is $_SESSION, denk ik. Iedereen keer als ik de site herlaad zou ik dus nog ingelogd moeten zijn, maar helaas ben ik dan weer uitgelogd. Kan iemand mij helpen?

Dit is mijn script:

PHP

<?php
ignore_user_abort === FALSE;
include('config.php');
$password1 = htmlspecialchars($_POST['password'], ENT_QUOTES); // Encrypt wachtwoord.
$password = sha1(md5(hash('sha512',$password1)));
$username = htmlspecialchars($_POST['username'], ENT_QUOTES); // Gebruikt html specialchars om XSS exploit te voorkomen.
if (isset($_POST['login']) && $username !="" && $password != ""){
$controleer = mysql_query("SELECT * FROM `users` WHERE `username`='".mysql_real_escape_string($username)."' AND `password`='".mysql_real_escape_string($password)."' AND `admin`='1'") or die (mysql_error());
$admin = mysql_num_rows($controleer);
if ($admin == 1){
session_start();
session_regenerate_id (true); //Voorkomt session fixed attacks. 
$_SESSION['usr_name'] = $username; 
$naam = mysql_fetch_object($controleer);
}
}
?>
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<title>Crystal ACP</title>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
<link href="style.css" rel="stylesheet" type="text/css" />
</head>
<body>
<div class="main">
  <div class="blok_header">
    <div class="header">
      <div class="logo"> <a href="index.html"><img src="images/logo.gif" width="349" height="98" border="0" alt="logo" class="one" /></a> </div>
      <div class="galeria">
        <p><a href="#" class="thre"><img src="images/spacer.gif" alt="pisture" width="24" height="23" border="0" /></a> <a href="#" class="sek"><img src="images/spacer.gif" alt="pisture" width="24" height="23" border="0" /></a> <a href="#" class="first"><img src="images/spacer.gif" alt="pisture" width="24" height="23" border="0" /></a> </p>
      </div>
    </div>
    <div class="clr"></div>
  </div>
  <?php
   if (!isset($_SESSION['usr_name'])){ ?>
  <div class="menu_resize_bg">
    <div class="menu_resize">
      <div class="menu">
        <ul>
          <li><a href="index.php"><span>User login</span></a></li>
		  <li><a href="show.html"><span>Features</span></a></li>
        </ul>
      </div>
	  <div class="clr"></div>
  <div class="body_resize">
    <div class="body">
<center>
<form method="post">
<b>This page is for Crystal Administrators only</b>
<br>
Username:<input type="textbox" name="username">
<br>
Password:<input type="password" name="password">
<br>
<input type="submit" value="login" name="login">
</div>
      <div class="clr"></div>
    </div>
    <div class="clr"></div>
  </div>
<? }
elseif (isset($_SESSION['usr_name'])){ 
?>
<div class="menu_resize_bg">
    <div class="menu_resize">
      <div class="menu">
        <ul>
          <li><a href="admin.php" class="active"><span>Users</span></a></li>
		  <li><a href="serial.php"><span>Creat serial</span></a></li>
        </ul>
      </div>
	  <div class="clr"></div>
  <div class="body_resize">
    <div class="body">
	<form method="post">
<center>Welcome <?echo $_SESSION['usr_name'];?></center>
<table width="100%" cellspacing="2" cellpadding="2">
            <tr><td>Username:</td><td>Serial:</td></tr>
			<?php
$userstel = mysql_query("SELECT * FROM `users`");
while($userstellen = mysql_fetch_object($userstel)){ ?>
			<tr>
			<td><?if ($userstellen->admin >0){echo "<font color=red>";} echo $userstellen->username;if($userstellen->admin >0){echo "</font>";}?></td>
			<td><? echo $userstellen->serial;?></td>
			</tr>
			<? }?>
        </table>
		<br /> <br /> <br />
		</table>			
<? } ?>

Toon Meer

FrankY

session_start(); moet helemaal boven aan. Denk dat het dan wel doet.

strafeness1

Citaat van FrankY

session_start(); moet helemaal boven aan. Denk dat het dan wel doet.

Ik wil dat hij alleen de session start als de gebruiker is gevonden met de opgegeven username en password.

Als ik hem helemaal boven aan zet krijg ik deze error:

Warning: Unknown: Your script possibly relies on a session side-effect which existed until PHP 4.2.3. Please be advised that the session extension does not consider global variables as a source of data, unless register_globals is enabled. You can disable this functionality and this warning by setting session.bug_compat_42 or session.bug_compat_warn to off, respectively in Unknown on line 0

Tim

Google?

Verder is cookie net zo veilig als Session...
Wist je dat aan een session een cookie zit vastgeplakt?

strafeness1

Citaat van BrokenTrack

Google?
Verder is cookie net zo veilig als Session...
Wist je dat aan een session een cookie zit vastgeplakt?

Heb ik al geprobeerd, maar helaas niks kunnen vinden. Ohh, op internet dacht ik te lezen dat $_SESSION veiliger is.

Nieuwe reactie samengevoegd met originele reactie op 23.01.12 14:39:36:
Heb het ondertussen al gefixt. Bedankt.

pekelterror

@BrokenTrack

Session is toch echt veiliger, maar je hebt wel gelijk dat de client dan een cookie krijgt daarvan.

Dit is echter niets meer dan een 32 tekens lange cijfer/letter combinatie.
En die kraak je niet zomaar (Al helemaal niet als je ook nog een $_SESSION['ip'] aanmaakt met daarin het IP van de inlog, die gelijk moet zijn bij bepaalde handelingen)

Terwijl een $_COOKIE zo is aangepast.

Een inlog met een $_SESSION['usr_name'] zoals in voorbeeld kun je niet zomaar even de naam aanpassen.
Terwijl dat bij $_COOKIE['usr_name'] in enkele seconden is gedaan.

Maar ontopic: Fijn dat je eruit bent gekomen.
Wat was precies het probleem, misschien zijn er meer mensen met een soortgelijk probleem.

Tim

Session is aanpasbaar. Cookie is aanpasbaar.

Oftewel, beveilig gewoon de waardes Dan maakt het niet meer uit wat je doet qua beveiliging.

Het klopt dat je het niet 'even' doet bij een session. Maar uiteindelijk komt het wel op hetzelfde neer.

Darsstar

Koppel een extra cookie aan je sessie.
Sign je cookies: http://kohanaframework.org/3.2/guide/api/Cookie#set
Gebruik bcrypt + hmac: http://www.criminalspoint.com/db/script/697/…sword-hash.html
Pas de locatie van sessies aan als je op een shared server zit.
Die hash van jou is zo veilig als een MD5 hash, zo niet minder veilig. Zwakste schakel en alles.

*hoopt dat het interwebz me dit nu eindelijk laat posten en ik het niet nog een keer opnieuw hoef te typen*

ICTscripters

Dé plek voor IT

Dé plek voor IT

Beta-testers gezocht voor Crypto-oefenplatform

Na 15 jaar terug van weggeweest: iCriminals.nl is terug (BETA)!

Developer Gezocht

Op zoek naar de legends

[FREE] WeFact Hosting module

Help testers nodig voor android app Urgent

Versio vervanger

Afspraken systeem met planbeperking

350 Nieuwe Domeinnamen Januari 2026

321 Nieuwe Domeinnamen December 2025

Meerdere mafia game template te koop

Session help

Participate now!

Fijne feestdagen

Kritieke update voor Really Simple Security-plug-in

ING Nederland streeft naar ondersteuning van Google Pay tegen eind februari

Functioneel ontwerp

Access Control List implementatie in PHP/MySQL - deel 1/2

Access Control List implementatie in PHP/MySQL - deel 2/2