Inlogsysteempje begin

Luc · 1 December 2009

Beste leden,

IK ben stap voor stap een veilig inlog systeem aan het schrijven. Per ding wat ik eraan verander vraag ik wat beter kan.

Ik heb nu dit:

PHP

<?php


function islogged()
{
	// controleer of de cookies bestaan


	if(isset($_COOKIE['id'] && ctype_digit($_COOKIE['id']) && isset($_COOKIE['gebruikersnaam'])
	{
		// check of de sessie en cookies overeen komen


		if(isset($_session['id'] == $_COOKIE['id'] && $_SESSION['ip'] == $_SERVER_REMOTE_ADDR && $_SESION['gebruikersnaam'] == $_COOKIE['gebruikersnaam'])
		{


		$gebruikersnaam = $mysqli_real_escape_string($_COOKIE['gebruikersnaam']);


		$mysqli->query("SELECT gebruikersnaam FROM leden WHERE gebruikersnam='".$gebruikersnaam."'");


	if($mysqli->num_rows == 1)
	{
		ingelogd


	      return TRUE;
		
	}
	else
	{
		uitgelogd
	}
}
?>

Toon Meer

Hopend dat u me hiermee wilt helpen.

Met vriendelijke groet,

Luc

FrankY · 1 December 2009

Wat is de fout dan? Of toont hij geen fout?

Luc · 1 December 2009

Hij toont geen fout, ik heb het net ff snel geschreven en wou weten of dit beter kan:P

CPbot · 1 December 2009

PHP

$mysqli->query("SELECT gebruikersnaam FROM leden WHERE gebruikersnam='".$gebruikersnaam."'");

Kijk eens wat naar WHERE komt

Luc · 1 December 2009

Ja even niet op typ fouten letten maar op beveiliging. Of dit zo veilig inlogsysteempje begin is of juist niet daar gaat het me om.

CPbot · 1 December 2009

Dan stuit je al op een probleem: Niets is veilig. :p

Maar als je voor veiligheid kiest, waarom dan cookies en geen SESSIONS?

Luc · 1 December 2009

Wil het straks met beide gaan doen. Dus een sessie en cookie meegeven. Die allebij genereren en met elkaar vergelijken, kloppen ze en kun je dit alles terug vinden in de database, dan ben je ingelogd, anders uitgelogd. Zo wil ik het gaan maken. Maar weet niet of dit veilig genoeg is?

Met vriendelijke groet,

Luc

MrMees · 1 December 2009

Je moet nog op IP checken.

Verder kan je in de query LIMIT 1 zetten, dat is sneller. Je wilt toch weten of er 1 van bestaat?

En ik snap xdigit niet, dan mag je alleen maar a-f en A-F. Beetje raar als een gebruikersnaam geen Z kan bevatten niet?

Luc · 1 December 2009

Oke dankje gebrui ik andere functie voor. Ik ga het mogen eens goed uitwerken het is nu laat dus gat nu niet goed;)

Niels · 1 December 2009

PHP

<?php


Function islogged()
{
    if(isset($_COOKIE['id']) && ctype_digit($_COOKIE['id']) && isset($_COOKIE['gebruikersnaam']) && ctype_xdigit($_COOKIE['gebruikersnaam']))
    {


        $mysqli->query("SELECT gebruikersnaam FROM leden WHERE gebruikersnam='".addslashes($_COOKIE['gebruikersnaam']));


    if($mysqli->num_rows == 1)
    {
        //ingelogd


        return TRUE;
        
    }
    else
    {
        uitgelogd
    }
?>

Toon Meer

Is alleen wel zo onveilig als wat aangezien je door middel van de cookie 'gebruikersnaam' te wijzigen toegang krijgt tot een ander account. Kijk eens naar sessies Stukje veiliger op de manier zoals jij het wil doen.

isset() kan trouwens meerdere waarden bevatten zegmaar dit:

PHP

isset($foo,$bar)

Frenzo · 1 December 2009

gebruikersnam staat over al het is gebruikersnaam

Stefan.J · 1 December 2009

Wat Niels zegt inderdaad.

Citaat

Dan stuit je al op een probleem: Niets is veilig.

Maar als je voor veiligheid kiest, waarom dan cookies en geen SESSIONS?

Omdat sessies niet per definitie veiliger zijn? Bij goed gebruik van cookies kan dit heel veilig zijn.

"Niets is veilig." Een volledig veilig systeem is bijna onmogelijk, maar een loginsysteem op zich: Moet lukken.

[offtopic]Overigens waardeer ik dan wel heel erg dat je dit topic opent![/offtopic]

Luc · 2 December 2009

Ik heb ondertussen het script wat vergroot.

PHP

<?php


function islogged()
{
	// controleer of de cookies bestaan


	if(isset($_COOKIE['id'] && ctype_digit($_COOKIE['id']) && isset($_COOKIE['gebruikersnaam'])
	{
		// check of de sessie en cookies overeen komen


		if(isset($_session['id'] == $_COOKIE['id'] && $_SESSION['ip'] == $_SERVER_REMOTE_ADDR && $_SESION['gebruikersnaam'] == $_COOKIE['gebruikersnaam'])
		{


		$gebruikersnaam = $mysqli_real_escape_string($_COOKIE['gebruikersnaam']);


		$mysqli->query("SELECT gebruikersnaam FROM leden WHERE gebruikersnaam='".$gebruikersnaam."'");


	if($mysqli->num_rows == 1)
	{
		ingelogd


	      return TRUE;
		
	}
	else
	{
		uitgelogd
	}
}
?>

Toon Meer

Is dit al beter? En wat kan ik er verder nog aan toevoegen waardoor het veiliger word.

Met vriendelijke groet,

Luc

Nieuwe reactie samengevoegd met originele reactie op 02.12.09 09:05:06:

PHP

<?php


function islogged()
{
	// controleer of de cookies bestaan


	if(isset($_COOKIE['id'] && ctype_digit($_COOKIE['id']) && isset($_COOKIE['gebruikersnaam'])
	{
		// check of de sessie en cookies overeen komen


		if(isset($_SESSION['id'] && ctype_digit($_SESSION['id']) && isset($_SESSION['gebruikersnaam'])
		{
			// controleer of ze gelijk zijn aan elkaar


			if($_session['id'] == $_COOKIE['id'] && $_SESSION['ip'] == $_SERVER_REMOTE_ADDR && $_SESION['gebruikersnaam'] == $_COOKIE['gebruikersnaam'])
			{


				$gebruikersnaam = $mysqli_real_escape_string($_COOKIE['gebruikersnaam']);


				$check = $mysqli->query("SELECT ID,IP,gebruikersnaam,datum FROM online WHERE gebruikersnaam='".$gebruikersnaam."'");
			
				if($check->num_rows == 1)
				{
					$speler = $check->fetch_assoc();
					if($speler['IP'] == $_SESSION['ip'] && $speler['ID'] == $_SESSION['ID'])
					{
						// ingelogd
						RETURN TRUE;
					}
					else
					{
						// uitgelogd
						RETURN FALSE;
					}
			
				}
			}
		}
	}
}
			
	
?>

Toon Meer

Zoiets zalegt wel veilig moeten zijn lijkt me. Maargoed hoe kan ik dit beter maken?

Met vriendelijke groet,

Luc

Darsstar · 2 December 2009

De errors er uit halen?
isset($_SESSION['id'] &&
je vergeet isset() af te sluiten... (niet alleen daar)

PHP

if(isset($_COOKIE['id']) && ctype_digit($_COOKIE['id']) && isset($_COOKIE['gebruikersnaam']))
// kan korter als:
if(isset($_COOKIE['id'], $_COOKIE['gebruikersnaam']) && ctype_digit($_COOKIE['id']))
// zoals niels dus al zei...

de else die false returned weg halen...
en de "return FALSE;" net op het einde van de functie zetten... (niet in een if)

De datum en gebruikersnaam niet uit de database selecteren...

Zodra je ingelogd bent (je login script) session_regenerate_id() aanroepen...

Zorgen dat je $mysqli ook echt bestaat...

de $ voor mysql_real_escape_string($_COOKIE['gebruikersnaam']) weghalen...

$_SERVER_REMOTE_ADDR veranderen in $_SERVER['REMOTE_ADDR']

Op id selecteren, niet op gebruikersnaam...
Ook vind ik het geen goed idee om de gebruikersnaam in de cookie en sessie op te slaan, het id is genoeg...
Wil je nog een extra waarde neem dan de hash van iets... (ip + browser + id + datum geregistreerd bijvoorbeeld)

$_session['id'] met hoofd letters schijven...
consequent blijven is trouwens ook wel handig... ($_SESSION['id'] en $_SESSION['ID'] zijn verschillende variabelen)

MrMees · 2 December 2009

Darsstar: Wat maakt het verschil tussen op ID of op naam selecteren?

Stefan.J · 2 December 2009

Selecteren op ID is veel sneller. Dit omdat getallen al sneller werken, en daarbij de ID normaal de PRIMARY KEY is. Wil je iets selecteren uit een tabel, is de PRIMARY KEY altijd de snelste optie: Dit heeft te maken met de manier waarop MySQL de boel opslaat.

MrMees · 2 December 2009

Ok, dat wist ik niet bedankt!

Darsstar · 2 December 2009

Citaat van MrMees

Darsstar: Wat maakt het verschil tussen op ID of op naam selecteren?

Verder is het ook een beetje vreemd als je een uniek veld hebt voor een bepaalde user dat niet hoort te veranderen (gericht aan iedereen die het zou kunnen veranderen in de database) en een ander veld gebruikt om users te identificeren...
Zeker wanneer je bedenkt waar id voor staat!

Even logisch nadenken kan soms al veel opleveren :p

Partner Gezocht om meerdere NFT Collecties op Open Sea te Plaatsen

Plesk installer

cpanel / whm themes

PHP Point of Sale

Probleem omtrent Tinymce

Kunnen jullie mij helpen met deze enquete

een eigen cloud sever

Probleem C++ en CL

193 Nieuwe domeinnamen April 2025

228 Nieuwe domeinnamen Maart 2025

285 Nieuwe domeinnamen Februari 2025

Inlogsysteempje begin

Participate now!

Fijne feestdagen

Kritieke update voor Really Simple Security-plug-in

ING Nederland streeft naar ondersteuning van Google Pay tegen eind februari

Functioneel ontwerp

Access Control List implementatie in PHP/MySQL - deel 1/2

Access Control List implementatie in PHP/MySQL - deel 2/2

Delen

Gebruikers die dit topic bekijken