CLOSETOPPIC

Juist...
So far so good...

Nu nog even je login script posten en we kunnen kijken waar het mis gaat...

OK...

Als ik ooit op je website kom,herinner me er dan alsjeblieft aan vooral NIET te registreren!

Het wachtwoord wordt blijkbaar in plaintext opgeslagen in de database... (FAIL)
Het wachtwoord wordt opgeslagen in een cookie (FAIL)
Het wachtwoord wordt als MD5 hash opgeslagen in een cookie (HUGE FAIL)
In Inloggen() wordt de MD5 hash vergeleken met het plaintext wachtwoord in de database (FAIL)
Plaintext wachtwoord en MD5 hash van het plaintext wachtwoord komen niet overeen (FAIL)

Een XSS lek op een verkeerde plaats (sommige plekken zijn relatief onschadelijk) en alle wachtwoorden kunnen achterhaald worden.

Wat maakt dat van dit inlog systeem?
Een EPIC FAIL!

Als je iets wilt opslaan in een cookie dan is dat bijvoorbeeld het id van een gebruiker, niet de naam.
Sla NOOIT het wachtwoord (in welke vorm dan ook) op in een cookie.
Maak een hash aan van bijvoorbeeld het IP, de user-agent of weet ik veel wat en gebruik dat als extra authenticatie middel...

SetCookie("Wachtwoord",Md5($_POST['wachtwoord']),(Time()+999999999999999999));

verander je in

SetCookie("Wachtwoord",$_POST['wachtwoord'],(Time()+999999999999999999));

[offtopic]IK BEN NIET VERANTWOORDELIJK VOOR DE VEILIGHEID VAN DEZE WIJZIGING!
Die is dan trouwens 10^-99%[/offtopic]

- laat maar ik slaap, ik had z'n reactie niet gezien -

je weet dat je site nu totaal niet veilig is he? (verre van veilig zelfs)

Darsstar edit: Hij wilt niet luisteren, doe geen moeite...
Dragontje124 edit: Ok dan niet :p

Citaat van dragontje124

je weet dat je site nu totaal niet veilig is he? (verre van veilig zelfs)

Darsstar edit: Hij wilt niet luisteren, doe geen moeite...

Darsstar, had je niet gelijk het topic kunnen sluiten. Nu krijg je nog meer van dit soort reacties & de topic starter vroeg om een :slotje:

hmm het valt me nog mee dat je bij het registreren wel de waarden escapet (tenminste zover ik heb gezien)
of staat magic quotes oid aan?