Beveiliging

brandon192

Beste leden,

Ik heb net een aanmeld script gemaakt en wil vragen of iemand wil kijken of deze goed beveiligt is.
Ik heb hier geen vergoeding voor. Dit maar alvast erbij gezet. Het zal mss een 5 min werk zijn maar je helpt me er een heel stuk mee vooruit.

Citaat

Wie me wilt helpen stuur ik de code via pm wil deze niet zo openbaar in het forum hebben staan.

WHMCSAddons

Post het dan gewoon ? 10 ogen beter dan 1

wimmpie

en als het goed beveiligd is maakt het niet uit dat iemand het kan zien, want dan kan je het niet hacken
en elk registratie script is toch ongeveer hetzelfde. Dus veel maakt het niet uit, gewoon posten

brandon192

PHP

<?php
	function random_string($length) {
		$charset = array_merge(range('a', 'z'), range('A', 'Z'), range(0, 9));
		shuffle($charset);
		$password = array_slice($charset, 0, $length);
		return implode('', $password);
	}
?>
<div class="contenttop">- Aanmelden ,</div>
<div class="contentmiddle">
<?php


	if(isset($_POST['submit'])){
		
		$aError = array();
		
		$aUser = mysql_escape_string($_POST['aUser']);
		$aMail = mysql_escape_string($_POST['aMail']);
		$aMail2 = mysql_escape_string($_POST['aMail2']);
		
		$q_check = mysql_query("SELECT COUNT(*) FROM `leden` WHERE `gebruikersnaam` = '" . $aUser ."'");
  		$aCheck = mysql_result($q_check, 0, 0);
		
		$q_check_mail = mysql_query("SELECT COUNT(*) FROM `leden` WHERE `email` = '" . $aMail ."'");
  		$aCheck_mail = mysql_result($q_check_mail, 0, 0);
		
		if($aCheck > 0){
       		$aError[] = 'Deze gebruikersnaam is al in gebruik';
    	}
		
		if($aCheck_mail > 0){
       		$aError[] = 'We hebben al een gebruiker met dit e-mail adres.';
    	}
     
    	if(strlen($_POST['aUser']) < 4){
        	$aError[] = 'Je gebruikersnaam is te kort. Zorg ervoor dat deze minimaal 4 tekens is.';
    	}
     
    	if(strlen($_POST['aUser']) > 40){
        	$aError[] = 'Je gebruikersnaam is te lang. Zorg ervoor dat deze maximaal 40 tekens is.';
    	}
		
		if($aMail != $aMail2){
			$aError[] = 'De ingevoerde e-mail adressen komen niet overeen.';	
		}
		
		 if(count($aError) == 0){
			 $aCode = random_string(6);
			 $aPass = random_string(10);
			 $ecPass = md5($aPass);
			 
			  $sSQL = 'INSERT INTO `leden` (`gebruikersnaam`, `email`, `actief`, `code`, `wachtwoord`) VALUES (\'' . $aUser .'\', \'' . $aMail .'\', \'0\', \'' . $aCode .'\',  \'' . $ecPass .'\')';
			 
			  @mysql_query($sSQL);
			  if(!mysql_error()){
				  echo 'We hebben je een mail gestuurd met je wachtwoord hierin.';
				  
				  $to      = $aMail;
				  $subject = 'Aanmelding voltooien';
				  $message = 'Bedankt voor je aanmelding op ' . $sitenaam . "\n" . 'Klik op onderstaande link voor je account te activeren.' ."\n". $sitelink . 'activeren.php?code=' . $aCode .'&usrn='. $aUser . "\n" .' Je hebt 7 dagen om je account te activeren!' . "\n" . 'Eenmaal je account geactiveerd kun je je inloggen met het wachtwoord :' . $aPass . '';
				  $headers = 'From: Maffiagame <[email protected]>' . "\r\n" .
						     'Reply-To: [email protected]' . "\r\n" .
    						 'X-Mailer: PHP/' . phpversion();


				  mail($to, $subject, $message, $headers);
				  
			  }else{
				  echo 'Er is een MySQL fout opgetreden bij het aanmelden.';
			  }
		 }else{
			 echo 'Er zijn verschillende fouten opgetreden:';
			 echo '<ul>';
			 foreach($aError as $sError){
				 echo '- '. $sError .'<br />';
			 }
			 echo '</ul>';
	     }
	}else{
		echo '<form method="POST">';
    	echo '<label>';
    	echo '<legend>Gebruikersnaam:</legend>';
        echo '<input type="text" name="aUser" value="" />';
        echo '</label>';
    	echo '<label>';
    	echo '<legend>E-mail:</legend>';
        echo '<input type="text" name="aMail" value="" />';
        echo '</label>';
    	echo '<label>';
    	echo '<legend>E-mail<em>(herhalen)</em>:</legend>';
        echo '<input type="text" name="aMail2" value="" />';
        echo '</label>';
        echo '<br />';
        echo '<label>';
        echo '<input type="submit" name="submit" value="Aanmelden" class="button" />';
        echo '</label>';
		echo '</form>';
	}
?>
</div>

Toon Meer

zwpgangster

ik zal password met md5 doen

PHP

$password = md5($password);

brandon192

Ik heb het password met md5 gedaan lijn 50

iCold

Hij is veilig voor sql en xss injecties.
Ook zou ik geen md5 gebruiken. Maar wat anders bijv sha512
Er bestaan tools om md5 te decoderen.

Tim

Citaat van Hamza-R

Hij is veilig voor sql en xss injecties.
Ook zou ik geen md5 gebruiken. Maar wat anders bijv sha512
Er bestaan tools om md5 te decoderen.

Er is geen tool om MD5 mee te decoderen

Er wordt gebruik gemaakt van collisions en brute force logs

brandon192

En hoe gebruik je sha 512 gewoon zo:

PHP

$ecPass = sha512($aPass);

Tim

Citaat van brandon192
En hoe gebruik je sha 512 gewoon zo:
Code
$ecPass = sha512($aPass);

Google geprobeerd?

iCold

Volgende keer even google aub.

PHP

$ecPass = hash(sha512, $aPass);

iCold

Broken, er is wel een tool: http://www.md5decrypter.co.uk/

stijnhau

nee die zoekt gewoon in een databse naar iets met die code dat dan het ww is.

brandon192

Citaat van Hamza-R
Volgende keer even google aub.
PHP
$ecPass = hash(sha512, $aPass);

Dankje wel.
Heb even snel op google gezocht want het werkte niet op de manier hoe het hier staat. Er was een klein foutje in.

PHP

$ecPass = hash('sha512', $aPass);

Dit is hoe hij hoort.

WHMCSAddons

md5 raad ik je niet aan om te gebruiken, hieronder een simpel voorbeeld hoe ik het zou doen (let op voorbeeld)

PHP

<?PHP
$password	= 'easypassword';
$hash		= hash("sha512", 'S0m3S@ltH3r3' . $password . 'S3c0nds@lth3r3');


echo strlen($hash).'<br>'; //128 bit
echo $hash; //d69d16b981529abc8802ef60b05733574e58a3a03c744ffc3b4355a76900477b5d39deeb8cb683ae98d363c985df5f697c4a118359675932eb4f777e29d7ec6d

De voor en na variable $password kan je in eigen woorden of tekens doen, op die manier wordt het een stuk moeilijker gemaakt.

ICTscripters

Dé plek voor IT

Dé plek voor IT

Beta-testers gezocht voor Crypto-oefenplatform

Na 15 jaar terug van weggeweest: iCriminals.nl is terug (BETA)!

Developer Gezocht

Op zoek naar de legends

[FREE] WeFact Hosting module

Help testers nodig voor android app Urgent

Versio vervanger

Afspraken systeem met planbeperking

350 Nieuwe Domeinnamen Januari 2026

321 Nieuwe Domeinnamen December 2025

Meerdere mafia game template te koop

Beveiliging

Participate now!

Fijne feestdagen

Kritieke update voor Really Simple Security-plug-in

ING Nederland streeft naar ondersteuning van Google Pay tegen eind februari

Functioneel ontwerp

Access Control List implementatie in PHP/MySQL - deel 1/2

Access Control List implementatie in PHP/MySQL - deel 2/2

Gebruikers die dit topic bekijken