Sleep() in login

YVMdesign

Ik heb een login gemaakt voor me crime spel.

Ik heb ergens gelezen dat je sleep() kan gebruiken om brute-force tegen te gaan?

Login

PHP

require("config.php");


if (isset($_POST['submit']))
{
	// use sleep for anti brute-force
	sleep(1);
	
	$query = mysql_query("SELECT * FROM `Members` WHERE `nickname`='" .$_POST['nickname']. "'")
	
	if (empty($_POST['nickname']) OR empty($_POST['password']))
	{
		echo("You forgot something");
		header("Refresh: 5; url=index.php");
		die;
	}
	elseif (mysql_num_rows($query) == 0)
	{
		echo("This nickname exist.");
		header("Refresh: 5; url=index.php");
		die;
	}
	else
	{
		$query = mysql_query("SELECT * FROM `Members` WHERE `nickname`='" .$_POST['nickname']. "'");
		$result = mysql_fetch_assoc($query);
		
		if (md5($_POST['password']) == $result['password'])
		{
			echo("You are logged in, please wait 5 secondes.");
			$_SESSION['nickname'] = strtolower($_POST['nickname']);
			mysql_query("UPDATE `Members` SET `onlinetime`='"  .time(). "' WHERE `nickname`='" .strtolower($_POST['nickname']). "'");
			header("Refresh: 5; url=index.php");
			die;
		}
		else
		{
			echo("Wrong password.");
			header("Refresh: 5; url=index.php");
			die;
		}
	}
}

Toon Meer

Heeft iemand nog beveiligings tips?

Met vriendelijke groet,
Youri

Maaark

Sleep gebruik je om het bruteforcen te vertragen, niet helemaal om het te stoppen, daarnaast beveilig de posts maar eens.. daar heb je denk ik meer aan

YVMdesign

De inputs beveiligt.

PHP

require("config.php");


if (isset($_POST['submit']))
{
	// use sleep for anti brute-force
	sleep(1);
	
	// with mysql_real_escape_string
	$nickname = mysql_real_escape_string($_POST['nickname']);
	$password = mysql_real_escape_string($_POST['password']);
	
	$query = mysql_query("SELECT * FROM `Members` WHERE `nickname`='" .$nickname. "'")
	
	if (empty($nickname) OR empty($password))
	{
		echo("You forgot something");
		header("Refresh: 5; url=index.php");
		die;
	}
	elseif (mysql_num_rows($query) == 0)
	{
		echo("This nickname exist.");
		header("Refresh: 5; url=index.php");
		die;
	}
	else
	{
		$query = mysql_query("SELECT * FROM `Members` WHERE `nickname`='" .$nickname. "'");
		$result = mysql_fetch_assoc($query);
		
		if (md5($password) == $result['password'])
		{
			echo("You are logged in, please wait 5 secondes.");
			$_SESSION['nickname'] = strtolower($nickname);
			mysql_query("UPDATE `Members` SET `onlinetime`='"  .time(). "' WHERE `nickname`='" .strtolower($nickname). "'");
			header("Refresh: 5; url=index.php");
			die;
		}
		else
		{
			echo("Wrong password.");
			header("Refresh: 5; url=index.php");
			die;
		}
	}
}

Toon Meer

Superior

Je moet met SALT gaan werken wil je bruteforce en rainbowtable tegen houden.

Tevens ga ik met Maaark zijn reactie mee, je inputs zijn zo onveilig.

Maaark

Inderdaad is salten ook een ding wat verbeterd kan worden.
Daarnaast zou ik er ook een trim(); en strip_tags(); omheen gooien zodat de kans op XSS kleiner is

YVMdesign

zo toch niet weer wat moet ik nog meer toepassen dan?

mysql_real_escape_string

is toch genoeg?

Superior

YVMdesign
mysql_real_escape_string() is inderdaad genoeg, is verder niks voor nodig.

Alleen je wachtwoorden zijn nu heel erg zwak, md5() is online al een decryptie te vinden.
Zou dus met een SALT werken dat is heel stuk veiliger ook voor je leden

Maaark

Die houd in 't algemeen sql injections eruit. Html injections (XSS) kun je bovenstaande voor gebruikten, die trim is vooral omdat ik mij kapot erger op site's die spatie's in hun wachtwoordvergeten mail achter het wachtwoord hebben staan en copy pasten kut gaat..

YVMdesign

Wat doet de trim functie precies, ik word niet wijzer van php.net?

En van andere tuts ook niet echt.

Darsstar

trim() haalt wittekens aan het begin en eind van de string weg.
Ook kun je nog een tweede parameter mee geven wat een string is die alle andere tekens bevat die je ook weg wilt hebben.

Superior

Edit:
Darsstar was weer eens sneller :p

YVMdesign

Ok dankje,

Moet ik nog wat dingen beveiligen voor een goede login?

Maaark

Trouwens @ line 22: this nickname exist Moet dat niet zijn This nickname doesn't exist?

YVMdesign

Ja dat moet ja, verkeerd gezien :x

Dankje.

Maaark

Daarnaast ook die backticks weghalen in je query's

YVMdesign

Waarom moet dat??

Zo word het overzichtelijker?
Lijkt mij.

Maaark

http://wiki.phpfreakz.nl/Backticks

YVMdesign

Dus moet het zo doen?

PHP

$query = mysql_query("SELECT * FROM Members WHERE nickname='" .stripslashes($nickname). "'");

Maaark

Wat heb je dan nu bij $nickname = ?
Daarnaats ook slim om niet alles van Members te selecten maar alleen wat je nodig hebt.

Superior

Dus niet voor elke query een wildcard gebruiken (dus * )

Voorbeeld:

PHP

//Ik moet hebben: gebruikersnaam, wachtwoord & email


mysql_query("SELECT login,pass,email FROM Members WHERE...");

Dat is wat Maaark in feite bedoelt :cheer:

ICTscripters

Dé plek voor IT

Dé plek voor IT

Beta-testers gezocht voor Crypto-oefenplatform

Na 15 jaar terug van weggeweest: iCriminals.nl is terug (BETA)!

Developer Gezocht

Op zoek naar de legends

[FREE] WeFact Hosting module

Help testers nodig voor android app Urgent

Versio vervanger

Afspraken systeem met planbeperking

350 Nieuwe Domeinnamen Januari 2026

321 Nieuwe Domeinnamen December 2025

Meerdere mafia game template te koop

Sleep() in login

Participate now!

Fijne feestdagen

Kritieke update voor Really Simple Security-plug-in

ING Nederland streeft naar ondersteuning van Google Pay tegen eind februari

Functioneel ontwerp

Access Control List implementatie in PHP/MySQL - deel 1/2

Access Control List implementatie in PHP/MySQL - deel 2/2

Gebruikers die dit topic bekijken