Ban werkt niet!

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

Test test

test test

12/08/2008 18:43:00
Quote Anchor link
Op m'n site heb ik een inlog systeem. Wanneer ik iemand verban werkt het normaal gesproken wel! die gene wordt meteen naar de "verbannen pagina" doorgestuurd! Maar nu is er één persoon die er nog steeds in kan!

Het werkt ongeveer zo:
In database staat bij de gegevens van de persoon het aantal "waarschuwingen" als dat 2 is wordt de persoon verbannen!
Dus wanneer je inglogd wordt er in de database gekeken of de persoon in database meer of minder dan 2 waarschuwingen heeft! En op elke pagina wordt weer opnieuw gekeken of de persoon niet meer dan 2 waarschuwingen heeft.

Nu wou ik graag weten hoe het kan dat de persoon nog kan inloggen! En wat ik daar tegen kan doen?
 
PHP hulp

PHP hulp

22/12/2024 16:58:55
 
Bart Tuma

Bart Tuma

12/08/2008 18:53:00
Quote Anchor link
Er bestaat zoiets volgens mij dat het ipadres van die gene om x aantal minuten / uren veranderd.
 
Test test

test test

12/08/2008 19:00:00
Quote Anchor link
Maar hij controleerd de ingelogde gebruikersnaam en daarbij het aantal waarschuwingen. Volgens mij blokeerd hij het IP niet.

Heb ook geprobeerd om via sites als: altavista, googletranslate, anoniemopinternet.nl, er in te komen, maar via die sites kun je niet inloggen. Dus dat is het denk ik dan ook niet.
 

12/08/2008 19:11:00
Quote Anchor link
Zoek eerst maar uit waarop je wordt verbannen.
Het kan ook nog zijn dat je script gewoon brak is.
http://hidemyass.com heb je meer aan dan zo'n andere site. Dit is een proxy site.
 
Test test

test test

15/08/2008 13:48:00
Quote Anchor link
Je wordt gewoon verbannen op gebruikersnaam uit database icm aantal waarschuwingen. Heb het eerlijkt gezegd niet zelf gemaakt. Is ledensysteem van Reto, is wel goed systeem!
De site "hidemyass.com" heb ik ook al gebruikt, maar dan lukt het nog niet!

Heb me zelf al verbannen en getest, maar kom er op geen manier in!
 
--

--

15/08/2008 13:53:00
Quote Anchor link
Heeft die gast misschien gewoon een bug ontdekt in je script?
Gewijzigd op 01/01/1970 01:00:00 door --
 
Maarten Slenter

Maarten Slenter

15/08/2008 14:02:00
Quote Anchor link
Als je echt tijd over hebt zou ik zeggen, begin bij het begin, gewoon de index.php van je script (of je login, weet ik het) en loop dat van boven naar onder na

Wordt de PHP parser een kijk wat er gebeurd:D
 
Barman V

Barman V

15/08/2008 14:10:00
Quote Anchor link
Als je het check script kan laten zien kan ik meer voor je betekenen. Ook zou ik graag het stukje willen zien waar het script wordt geïnclude.
 
Jurgen assaasas

Jurgen assaasas

15/08/2008 14:20:00
Quote Anchor link
Bart Tuma schreef op 12.08.2008 18:53:
Er bestaat zoiets volgens mij dat het ipadres van die gene om x aantal minuten / uren veranderd.


Je bedoeld dynamic DNS.
 
Test test

test test

15/08/2008 16:03:00
Quote Anchor link
Bij elke pagina wordt eerst config.php geincluded.
(Alle paginas zitten toch achter index.php?pag= dus wordt het 2x gecontroleerd)

Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
4
5
<?php
session_start();
ob_start();
include_once("config.php");
?>


In config.php wordt global.php geincluded.

Dit staat in global.php:
Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
4
5
6
7
8
9
10
11
12
13
<?php
if ($_COOKIE['gebruikersnaam'] != "" AND $_COOKIE['loggedid'] != ""){
$select = "SELECT * FROM members WHERE gebruikersnaam='" . $_COOKIE['gebruikersnaam'] . "' AND activatie='ja'";
$query = mysql_query($select);
$list = mysql_fetch_object($query);

if ($list->status == "Verbannen" || $list->strafpunten >= "2"){
echo
// dan tekst dat persoon er niet meer in kan //
;
exit();
}

?>
Gewijzigd op 01/01/1970 01:00:00 door test test
 
Barman V

Barman V

15/08/2008 16:05:00
Quote Anchor link
Met strings kan je niet rekenen.

if ($list->status == "Verbannen" || $list->strafpunten >= "2"){

moet zijn

if ($list->status == "Verbannen" || $list->strafpunten >= 2){

Mag ik zeggen dat dit script zo onveilig is als wat. Cookies kan je met gemak aanpassen en zelf in elkaar knutselen, dus sql injection is erg eenvoudig hier.
Gewijzigd op 01/01/1970 01:00:00 door Barman V
 

15/08/2008 16:08:00
Quote Anchor link
Westerv schreef op 15.08.2008 16:03:
Bij elke pagina wordt eerst config.php geincluded.
(Alle paginas zitten toch achter index.php?pag= dus wordt het 2x gecontroleerd)

Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
4
5
<?php
session_start();
ob_start();
include_once("config.php");
?>


In config.php wordt global.php geincluded.

Dit staat in global.php:
Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
4
5
6
7
8
9
10
11
12
13
<?php
if ($_COOKIE['gebruikersnaam'] != "" AND $_COOKIE['loggedid'] != ""){
$select = "SELECT * FROM members WHERE gebruikersnaam='" . $_COOKIE['gebruikersnaam'] . "' AND activatie='ja'";
$query = mysql_query($select);
$list = mysql_fetch_object($query);

if ($list->status == "Verbannen" || $list->strafpunten >= "2"){
echo
// dan tekst dat persoon er niet meer in kan //
;
exit();
}

?>


Dit:
Afbeelding
is ob. Ob_* hoef je eigenlijk nergens op een website te gebruiken (uitzonderingen daargelaten).
Verder wil je alles weten van die gebruiker? Nee, slecteer dan alleen die kolommen.
Gewoon een nieuwe gebruiker aanmaken en je bent om je beveiliging heen.
Verder ben ik tegen ipbans.
Voor de rest wat die gast boven mij zegt.
Gewijzigd op 01/01/1970 01:00:00 door
 
Test test

test test

15/08/2008 16:10:00
Quote Anchor link
Dankje:)
Dan zou ik nog graag even weten hoe het dan kan wanneer ik mezelf bijv. 2 "strafpunten" geef, Dat ik wel gewoon verbannen word?
 
Barman V

Barman V

15/08/2008 16:11:00
Quote Anchor link
----------------------------
Dit:
[ob image]
is ob. Ob_* hoef je eigenlijk nergens op een website te gebruiken (uitzonderingen daargelaten).
Verder wil je alles weten van die gebruiker? Nee, slecteer dan alleen die kolommen.
Gewoon een nieuwe gebruiker aanmaken en je bent om je beveiliging heen.
Verder ben ik tegen ipbans.
Voor de rest wat die gast boven mij zegt.
--------------------------

Hahahaha
 
Barman V

Barman V

15/08/2008 16:12:00
Quote Anchor link
Westerv schreef op 15.08.2008 16:10:
Dankje:)
Dan zou ik nog graag even weten hoe het dan kan wanneer ik mezelf bijv. 2 "strafpunten" geef, Dat ik wel gewoon verbannen word?


Dan heb je waarschijnlijk de status op "Verbannen" staan.
 

15/08/2008 16:14:00
Quote Anchor link
Westerv schreef op 15.08.2008 16:10:
Dankje:)
Dan zou ik nog graag even weten hoe het dan kan wanneer ik mezelf bijv. 2 "strafpunten" geef, Dat ik wel gewoon verbannen word?

Mjah, zal wel aan je sql injections liggen. Dan kan je zelf effe je gegevens aanpassen :-) (ban weg, geen id of het een spel is, maar als dat het is, even aantal levels omhoog + resources).
 
Test test

test test

15/08/2008 16:17:00
Quote Anchor link
Nee dat stond er niet,,
raar maar als 't zo werkt ben ik tevreden:)
En zo veel leden zijn er niet;) Is nog wel bij te houden. Dan moet die gene ook heel veel mail adressen aanmaken!
Maar Bedankt!
 

15/08/2008 16:19:00
Quote Anchor link
Zoek eens op sql injections
 
Barman V

Barman V

15/08/2008 16:23:00
Quote Anchor link
Tis toch niet helemaal waar wat ik zei met rekenen en strings (of hangt dit af van je configuratie?).
Zie:

Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
4
5
6
<?php
echo var_dump(0 >= "2"); // false
echo var_dump(1 >= "2"); // false
echo var_dump(2 >= "2"); // true
echo var_dump(3 >= "2"); // true
?>


Maar gezien jouw script is het niet moeilijk om het te omzeilen. Met gemak kan ik me voordoen als een andere gebruiker en sql injection is ook eenvoudig uit te voeren.
 



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.