Voor mij persoonlijk zijn volgende dingen altijd belangrijk:
- DAO
- Model & controller structuur
- templates (smarty like)
- Basis beveilging

Verder vind ik het ook altijd leuk als in een framework al een standaard authenticatie module zit,
die wachtwoorden veilig opslaagt met dubbele salt etc.
Niet dat dit echt in het framework moet zitten, maar voor veel sites die ik gebruik is het wel een standaard module

Citaat van K.Rens

Voor mij persoonlijk zijn volgende dingen altijd belangrijk:
- DAO
- Model & controller structuur
- templates (smarty like)
- Basis beveilging

Verder vind ik het ook altijd leuk als in een framework al een standaard authenticatie module zit,
die wachtwoorden veilig opslaagt met dubbele salt etc.
Niet dat dit echt in het framework moet zitten, maar voor veel sites die ik gebruik is het wel een standaard module

Toon Meer

Wat bedoel jij precies met een dubbele salt?

Citaat van M.Beers

Een salt is een extra sleutel die betrokken word bij je het controleren van je wachtwoord.
Zo voorkom je dat er een derde partij (hacker) je wachtwoord kan lezen tijdens een GET/POST/AJAX request of kan oplossen met Rainbow tables

Edit: In mijn geval is een dubbele salthash niet nodig omdat er ook CSRF (Cross-Site Request Forgery) in komt waarbij er automatisch bij elke POST/REQUEST een unieke code komt die gecontrolleerd word.

Ik snap wat een salt is, maar ik snap het nut van zijn dubbele salt niet.
Als je gewoon gebruik maakt van een trage encryptie methode, in combinatie met een salt die per user uniek is en redelijk lang. Plus daar bovenop het voor een gebruiker verplicht maakt om VeRsch!lL3nd# tekens te gebruiken dan zit je goed.

En mag ik vragen waarom je er zelf een bouwt? Gewoon om PHP beter te leren of wil je echt de strijd aangaan met andere bestaande frameworks?

Een MD5 over een Sha1 hash heen gooien doet niks voor je, dan kan je beter bcrypt gebruiken.
Het sterke punt van Bcrypt is de enorme variabele traagheid ervan.

En ik heb ook lang gebruik gemaakt van CodeIgniter, maar ben recent overgestapt op Laravel.
Ben er enorm van onder de indruk, lage leercurve net als bij CI maar ook nog eens een van de snelste onder de frameworks.

En het heeft ook een beetje een Ruby on rails achtige feel.

//Oud
md5(sha1($username) . $password . $salt);
//Nieuw
hash("SHA512", $salt . $password . $salt);

Zo kan je het ook gewoon doen dan heb je een dubbele salt draaien op een 128 bit encryptie.
Ik zou echter eens kijken naar de Blowfish encryptie...

Meer informatie vind je hier: http://php.net/manual/en/function.crypt.php & http://www.the-art-of-web.com/php/blowfish-crypt/

Nou, dubbel encryptie maakt niet echt uit welke het is. dubbel md5 of md5 met sha. Inderdaad sha + md5 is beter en ook veiliger en er is bijna geen kans dat het in een encryptie database zit maar dat is ook met md5 + md5.

Tegenwoordig kunnen we met de GPU decrypten dus ook al worden er meer erop gegooit het blijft niet veilig, dus het enige echt veilige is een eigen encryptie te maken. En geen md5, sha, enzovoort.

Ik gebruik een eigen encryptie en gooi daarna sha512 overheen. Dat is zo goed als onkraakbaar want er bestaan (volgensmij) geen databases met sha512.

bramieboy100, kan kloppen maar bruteforcers blijft altijd bestaan. Maar ehm, eigen encryptie is altijd de beste. Naja, het is ook niet bepaald veilig als je hele server gehacked word, maar het is de beste manier om jezelf te beveiligen. En ik neem aan dat de site helemaal niet gehacked had mogen worden en dat iemand speciaal voor ... persoon een bruteforce maakt

Je kunt bruteforce tegen gaan dat als iemand het 3 keer fout heeft iemand niet meer kan inloggen. Dan moeten ze een nieuw wachtwoord aanvragen via de mail.

Citaat van ilaurens

bramieboy100, kan kloppen maar bruteforcers blijft altijd bestaan. Maar ehm, eigen encryptie is altijd de beste. Naja, het is ook niet bepaald veilig als je hele server gehacked word, maar het is de beste manier om jezelf te beveiligen. En ik neem aan dat de site helemaal niet gehacked had mogen worden en dat iemand speciaal voor ... persoon een bruteforce maakt

Als er een website gehackt wordt heeft de persoon alles, als een database gehackt word heeft hij nog niks als hij je SALT niet weet.
Moet je natuurlijk niet een MD5 of SHA1 gebruiken want daar bestaan teveel programma's en databases voor om te decrypten.

Wens je veel succes, als ik er 2x een SALT overheen zet waarvan ieder 35 tekens kan jij die in geen honderd jaar kraken.
Zodra je de SALT' weet misschien wel maar zonder de SALT zal jij dit nooit vinden indien er SHA512 draait welke 128 Bit is.

453ae0247f99fa2addc87981341868ce135da0c6e353e24f16d25ad1802afcf79b0e06820add2bed1dc13d4936d8859510e49dda2e5f30096ca251eaef1b5578

Als je dit kan bruteforcen en als jij daarvan de uitkomst weet krijg je € 100.00

Hallo,

Zelf ben ik ook bezig met een framework. En waar ik nu aan werk welke mogelijk ook zeer handig kan zijn in de jouwe is een foutafhandeling implementeren. Waarbij je een debuggingslevel kan instellen.

Mvg,
Tim

Als je iets van forms gebruikt/ondersteunt, voeg dan zeker een hidden 'id' bij.
Elke keer het formulier wordt verstuurd, geef je een nieuwe hidden unieke 'id' mee.
Op deze manier blokkeer je meteen ook veel standaard tools die je formulieren automatisch submitten
Is een goede feature die veel frameworks nu nog niet hebben.

ps: wat betreft md5, ik zou dit zelfs totaal niet gebruiken in mijn encryptie, en zeker niet als eind-encryptie.
Dit omwille van het feit dat er zoveel dubbele waarden bekend zijn van md5 (collision) en omdat er al zoveel databanken met veel md5 hashes bekend zijn (rainbow tables).

Ik weet niet of dit een domme vraag is, maar waarom is er bij de meeste frameworks geen index.php?

Nu moet ik de apache vhost aanpassen, kan je er standaard geen index.php bijzetten? Zodat het ook werkt op een shared hosting account.