login/register

Hallo,

Kun je mij uitleggen hoe je niet leert van een tutorial? Dat is juist de manier om het te leren zolang je maar niet alles direct kopieert en plakt.
Wat is het verschil tussen iemand die het jou uitlegt en een artikel die het je uitlegt?

Mvg,
Tim

Wellicht weet hier iemand een goede tutorial. Het is meestal zo dat je niet weet wat goed is en wat fout is.

Citaat van victor

Wellicht weet hier iemand een goede tutorial. Het is meestal zo dat je niet weet wat goed is en wat fout is.

Hallo,

Hij zoekt juist geen tutorial zover ik heb begrepen.

Mvg,
Tim

Hallo,

Tutplus is altijd een goede:
http://net.tutsplus.com/tutori…user-membership-with-php/

Mvg,
Tim

Dat is inderdaad wel het probleem met tutorials. Ze missen vaak essentiële dingen.
Deze bijvoorbeeld, heeft zeer matige beveiliging. (Alleen md5 versleuteling van wachtwoorden)

De MD5 hashing zou ik niet wakker van liggen, zo erg is dat niet. De XSS-injection in het script stoort me al iets meer. Trouwens, de regel waarop de MD5 hashing wordt gedaan weergeeft wel goed de kwaliteit.

$password = md5(mysql_real_escape_string($_POST['password']));

Dat slaat natuurlijk nergens op zo..

Citaat van Stefan.J

De MD5 hashing zou ik niet wakker van liggen

Juist, dus we moeten iedereen een onveilige manier van encryptie leren omdat?
Leer dan gewoon direct de veilige manier aan, MD5 is achterhaalt en niet veilig voor gebruik.
Daarin tegen is alleen een MD5 over een wachtwoord van de user onveilig, of je de input controleert of niet.
Zodra er een DB dump is door een fout of wat dan ook heeft dat hele escapen al geen zin meer..

1. http://nl1.php.net/manual/en/function.hash.php
2. http://nl1.php.net/manual/en/function.hash-algos.php (kan je zien welke algoritmes er aanwezig zijn.)
3. http://security.stackexchange.…-pepper-or-is-salt-enough (best interessante blog om te lezen.)

Mijn tip is geen MD5 te gebruiken aangezien hier veel online tools voor bestaan die een omgekeerde waarde heeft van de MD5 waarde.
Veel denken het is een klein project maakt niet uit, maar zodra je groter wordt (geen idee welk project) moet je het als nog aan gaan passen, dus waarom niet direct de juiste manier?

Kijk verder uit met het ophalen en opslaan van database gegevens, zoals eerder aangegeven.
Er zijn verschillende manieren om de in(out)put te controleren, zou deze eens rustig nalezen zodat je weet welke gevaren erachter zitten.
Is inderdaad redelijk veel leeswerk heb dit zelf ook nog steeds niet volledig onder controle maar ben wel een stuk wijzer over hoe ze mogelijk te werk kunnen gaan.

Een goede tip: maak niet alleen de tutorial, maar zoek op wat elke regel betekent die je niet begrijpt

Ik ga zeker niet roepen dat MD5 aan te raden is omdat het een fantastisch algoritme is. Maar als je leert programmeren maakt het echt niet uit of je dan sha512 encryptie of MD5 encryptie gebruikt. Het toevoegen van escapes voordat je een string door MD5 haalt vind ik een stuk triester!

Citaat

Mijn tip is geen MD5 te gebruiken aangezien hier veel online tools voor bestaan die een omgekeerde waarde heeft van de MD5 waarde.

Rainbow tables? Daar heb je salt's voor. Rainbow tables zijn er voor alle hashing algoritme te maken, en ook zeker aanwezig.

Citaat

Daarin tegen is alleen een MD5 over een wachtwoord van de user onveilig, of je de input controleert of niet.

Wat bedoel je daarmee?

Het punt is gewoon dat je md5 niet als enige beveiliging zou moeten hebben. Md5 is achterhaalt en er bestaan genoeg betere oplossingen om je wachtwoorden veiliger te versleutelen.

We moeten beginners geen slechte gewoontes aanleren.

Victor: wil het wel leren. Wat is dan wel de veilige manier?

MD5 met een moeilijke salt zorgt al meteen dat een dictionnary attack minder kans heeft op slagen.
Een salt is in feite gewoon een string die je erbij concat. Bvb: als het password = passw0rd, wat sowieso zal voorkomen in een MD5 dictionary,
zou je door een Salt:'X43z04xZk' ervoor te voegen: X43z04xZkpassw0rd krijgen, wat al moeilijk te vinden is via de dictinaries online.
het is zowel een voordeel dat MD5 snel is als een nadeel.