Http Auth beveiliging met mysql
Door Jens V, 22 jaar geleden, 5.594x bekeken
Met dit scripje kan je een pagina/pagina's beveiligen.
Ik heb dit scripje gemaak naar aanleiding van een reactie die ik juist zag staan (http://www.phphulp.nl/php/scripts/1/357/).
Je paginas moeten tussen de 2 aangegeven puntjes in de code staan.
De code is uitgelegd in het script zelf :-)
Een voorbeeldje:
User: Testuser
Pass: Testpass
Opbouwende commentaar is welkom:-)
Mvg,
Jens
EDIT 1: Foutje in de sql opgelost
EDIT 2: Superglobals gebruikt
EDIT 3: Anti-SQL-Injection toegevoegd (thx niek)
Voorbeeld: http://www.vandenreyt.be/phphulp/secure.php
Gesponsorde koppelingen
PHP script bestanden
Er zijn 25 reacties op 'Http auth beveiliging met mysql'
0 
-0 
-0
Leuk!, lijkt me erg handig, ga ik zeker gebruiken.
Voorbeeld werkt ook goed!
Voorbeeld werkt ook goed!
0 -0
-0
als ik de pagina opnieuw bezoek moet ik het passwoord niet meer invullen (heb niet op onthouden geklikt). Hoelang blijf je dan ingelogd?
Ik zie het niet meteen in het script.
Ik zie het niet meteen in het script.
0 -0
-0
Je blijft ingelogd totdat je je browser venster sluit.
Als je dan een nieuw opent, en dan naar de site opnieuw gaat, moet je je pass opnieuw ingeven ;)
Jens
Als je dan een nieuw opent, en dan naar de site opnieuw gaat, moet je je pass opnieuw ingeven ;)
Jens
0 -0
-0
Sorry... was even telegramstijl, dacht dat je gewoon per ongeluk verkeerd had gedaan in je code...
$_SERVER['PHP_AUTH_USER'];
$_SERVER['PHP_AUTH_PW'];
Ik zie nu trouwens ook SQL injection
$_SERVER['PHP_AUTH_USER'];
$_SERVER['PHP_AUTH_PW'];
Ik zie nu trouwens ook SQL injection
0 -0
-0
lees mijn tutorial over SQL Injection eens.
Ennee, je zet een while? terwijl je eerst zeker weet dat het 1 resultaat is? die hele while kan dus weg.
Ennee, je zet een while? terwijl je eerst zeker weet dat het 1 resultaat is? die hele while kan dus weg.
0 -0
-0
Code (php)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
<?
include('includes/config.php');//Naar de database connecten.
if (!isset($_SERVER['PHP_AUTH_USER']))//Kijken of er al een form is gesubmit, anders een weergeven.
{
header("WWW-Authenticate: Basic realm=\"Enter Password.\"");
Header("HTTP/1.0 401 Unauthorized");
exit;
}
elseif(isset($_SERVER['PHP_AUTH_USER']))//Als er een username is gesubmit, kijken of de logininformatie klopt.
{
$sql = "SELECT * FROM users WHERE username = '".mysql_real_escape_string($_SERVER['PHP_AUTH_USER'])."' AND password = '".sha1($_SERVER['PHP_AUTH_PW'])."'";//Nu is het veilig tegen SQL Injection. Voor zo ver ik weet zet sha1() het nooit om in speciiale carcaters zoals ene quote.
$res = mysql_query($sql) or die(mysql_error());
if (mysql_num_rows ($res) == 1)
{
$row = mysql_fetch_array ($res)
//HIER MOET DE SITE INHOUD
header("Refresh: 3; URL=http://www.jouwsite.be/test.php");
echo 'Dag '.$row['username'].'';
echo '<br>U wordt zodadelijk doorverwezen...';
//HIER STOPT DE SITE INHOUD
}else//Als de logininformatie fout is, form opnieuw weergeven.
{
header("WWW-Authenticate: Basic realm=\"Enter Password.\"");
header("HTTP/1.0 401 Unauthorized");
exit;
}
}
?>
include('includes/config.php');//Naar de database connecten.
if (!isset($_SERVER['PHP_AUTH_USER']))//Kijken of er al een form is gesubmit, anders een weergeven.
{
header("WWW-Authenticate: Basic realm=\"Enter Password.\"");
Header("HTTP/1.0 401 Unauthorized");
exit;
}
elseif(isset($_SERVER['PHP_AUTH_USER']))//Als er een username is gesubmit, kijken of de logininformatie klopt.
{
$sql = "SELECT * FROM users WHERE username = '".mysql_real_escape_string($_SERVER['PHP_AUTH_USER'])."' AND password = '".sha1($_SERVER['PHP_AUTH_PW'])."'";//Nu is het veilig tegen SQL Injection. Voor zo ver ik weet zet sha1() het nooit om in speciiale carcaters zoals ene quote.
$res = mysql_query($sql) or die(mysql_error());
if (mysql_num_rows ($res) == 1)
{
$row = mysql_fetch_array ($res)
//HIER MOET DE SITE INHOUD
header("Refresh: 3; URL=http://www.jouwsite.be/test.php");
echo 'Dag '.$row['username'].'';
echo '<br>U wordt zodadelijk doorverwezen...';
//HIER STOPT DE SITE INHOUD
}else//Als de logininformatie fout is, form opnieuw weergeven.
{
header("WWW-Authenticate: Basic realm=\"Enter Password.\"");
header("HTTP/1.0 401 Unauthorized");
exit;
}
}
?>
0 -0
-0
Code (php)
1
2
3
4
5
6
2
3
4
5
6
CREATE TABLE `users` (
`id` int(11) NOT NULL auto_increment,
`username` varchar(255) NOT NULL default '',
`password` varchar(255) NOT NULL default '',
PRIMARY KEY (`id`)
) ENGINE=MyISAM DEFAULT CHARSET=latin1;
`id` int(11) NOT NULL auto_increment,
`username` varchar(255) NOT NULL default '',
`password` varchar(255) NOT NULL default '',
PRIMARY KEY (`id`)
) ENGINE=MyISAM DEFAULT CHARSET=latin1;
SHA1 is altijd 40 karakters, dus dan wordt het:
Code (php)
1
2
3
4
5
6
2
3
4
5
6
CREATE TABLE `users` (
`id` int(11) NOT NULL auto_increment,
`username` varchar(255) NOT NULL default '',
`password` varchar(40) NOT NULL default '',
PRIMARY KEY (`id`)
) ENGINE=MyISAM DEFAULT CHARSET=latin1;
`id` int(11) NOT NULL auto_increment,
`username` varchar(255) NOT NULL default '',
`password` varchar(40) NOT NULL default '',
PRIMARY KEY (`id`)
) ENGINE=MyISAM DEFAULT CHARSET=latin1;
0 -0
-0
@ Andries:
Dat kan, daar heb ik nog niet naar gekeken... maar ok, dat weet ik dan ook al ;-)
Dat kan, daar heb ik nog niet naar gekeken... maar ok, dat weet ik dan ook al ;-)
0 -0
-0
Zeer handig en bondige script, duidelijk voor beginners en mits enkele beveiligingsaanpassingen ga ik het waarschijnlijk wel gebruiken, of toch de code die je geschreven hebt voor een eigen beveiliging. Mooi voorbeeld ook om PHP en MySQL samen te gebruiken.
Grtz.
Grtz.
0 -0
-0
Ik zou het zo doen: Een soortgelijk script bestaat trouwens al op phphulp. Ik vind het niet een echte toevoeging aan de scriptlib ook al zit er nu MySQL in verwerkt, op Jens' manier. Ieder verwerkt het dus op zijn eigen manier.
Ik vind verder niet dat dit script verwijderd moet worden o.i.d., want ik ben van mening dat elk (beetje goed) script de beginners op weg helpt!
Dus je helpt de beginners in ieder geval.
Code (php)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
<?php //geen shorttag gewoon voluit
include('includes/config.php'); //Naar de database connecten.
//Waarom SELECT * als je de
//gegevens niet eens gebruikt,
//ik doe dus SELECT id, het maakt
//misschien 1 miljoenste seconde
//uit, maar toch vind ik dit netter.
//Misschien is er nog een manier
//om de database zo min mogelijk
//te belasten.
$sql = "
SELECT
id
FROM
users
WHERE
username = '".mysql_real_escape_string($_SERVER['PHP_AUTH_USER'])."'
AND
password = SHA1('".$_SERVER['PHP_AUTH_PW']."')
;
'";//Het password in de database is omgezet met een SHA1 encryptie.
//Ik laat de database er ook sha1 van maken
//omdat ik SQL leuker vind dan PHP
$res = mysql_query($sql) or die(mysql_error());
if (mysql_num_rows ($res) != 1)
{
header("WWW-Authenticate: Basic realm=\"Enter Password.\"");
header("HTTP/1.0 401 Unauthorized");
exit;
}
?>
include('includes/config.php'); //Naar de database connecten.
//Waarom SELECT * als je de
//gegevens niet eens gebruikt,
//ik doe dus SELECT id, het maakt
//misschien 1 miljoenste seconde
//uit, maar toch vind ik dit netter.
//Misschien is er nog een manier
//om de database zo min mogelijk
//te belasten.
$sql = "
SELECT
id
FROM
users
WHERE
username = '".mysql_real_escape_string($_SERVER['PHP_AUTH_USER'])."'
AND
password = SHA1('".$_SERVER['PHP_AUTH_PW']."')
;
'";//Het password in de database is omgezet met een SHA1 encryptie.
//Ik laat de database er ook sha1 van maken
//omdat ik SQL leuker vind dan PHP
$res = mysql_query($sql) or die(mysql_error());
if (mysql_num_rows ($res) != 1)
{
header("WWW-Authenticate: Basic realm=\"Enter Password.\"");
header("HTTP/1.0 401 Unauthorized");
exit;
}
?>
Ik vind verder niet dat dit script verwijderd moet worden o.i.d., want ik ben van mening dat elk (beetje goed) script de beginners op weg helpt!
Dus je helpt de beginners in ieder geval.
0 -0
-0
Vind het script ook niet zo heel goed..
Is een dubbele check, is nergens voor nodig..
Verder:
Beetje lastig je hele site daar tussen te proppen..
Je kan volgens mij beter zoiets doen...
Auth.php:
Dan simpel deze page includen bovenaan de pages van je site..
Code (php)
Is een dubbele check, is nergens voor nodig..
Verder:
Code (php)
1
2
3
4
2
3
4
<?php
//HIER MOET DE SITE INHOUD
header("Refresh: 3; URL=http://www.jouwsite.be/test.php");
?>
//HIER MOET DE SITE INHOUD
header("Refresh: 3; URL=http://www.jouwsite.be/test.php");
?>
Beetje lastig je hele site daar tussen te proppen..
Je kan volgens mij beter zoiets doen...
Auth.php:
Code (php)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
<?php
$user = 'username';
$pass = 'password';
function check_auth($user, $pass)
{
if(isset($_SERVER['PHP_AUTH_USER'], $_SERVER['PHP_AUTH_PW']))
{
// kan hier ook in database checken voor user en pass
if(strtolower($_SERVER['PHP_AUTH_USER']) == $user && strtolower($_SERVER['PHP_AUTH_PW']) == $pass)
return true;
}
return false;
}
if(!check_auth($user, $pass))
{
header('WWW-Authenticate: Basic realm="Restricted Section"');
header('HTTP/1.0 401 Unauthorized');
die("<h1>Authentication Failed</h1>You are unauthorized to view this page");
}
?>
$user = 'username';
$pass = 'password';
function check_auth($user, $pass)
{
if(isset($_SERVER['PHP_AUTH_USER'], $_SERVER['PHP_AUTH_PW']))
{
// kan hier ook in database checken voor user en pass
if(strtolower($_SERVER['PHP_AUTH_USER']) == $user && strtolower($_SERVER['PHP_AUTH_PW']) == $pass)
return true;
}
return false;
}
if(!check_auth($user, $pass))
{
header('WWW-Authenticate: Basic realm="Restricted Section"');
header('HTTP/1.0 401 Unauthorized');
die("<h1>Authentication Failed</h1>You are unauthorized to view this page");
}
?>
Dan simpel deze page includen bovenaan de pages van je site..
0 -0
-0
Hier hebben we wat aan. ziet er netjes uit. het voorbeeld werkt goed. ;)
0 -0
-0
@nano, je kunt de refresh ook gewoon vervangen voor een Location: .. header
0 -0
-0
Misschien voor de uitbreiding:...
Nu wil ik me afmelden en als een andere gebruiker aanmelden...
(uiteraard gaat het dan om het afmelden.)
Nu wil ik me afmelden en als een andere gebruiker aanmelden...
(uiteraard gaat het dan om het afmelden.)
0 -0
-0
misschien het volgende, je zou je zelf even moeten testen. Ik weet niet of je die variabelen kan unsetten.
0 -0
-0
Ik snap het voordeel niet van HTTP Authentication boven gewoon een formuliertje invullen... Het werkt anders ja, je browser handelt nu je sessie af (weet je zeker dat je dat wilt!?), ipv een cookie en server side sessions, maar is dat beter?
Daarnaast is een formuliertje iets gebruikersvriendelijker (vind ik) omdat je er links naast kan zetten etc, en toch het formulier in kan vullen. Een HTTP Auth box is echt alleen dat. Geen plaatje, woord of link te vinden. Pas als je op cancel drukt. Jammer.
@nano
Nee variabelen unsetten kan niet. Unsetten kan natuurlijk wel :) Maar probeer maar eens $_SERVER['REMOTE_ADDR'] te unsetten... Het komt elke keer terug ;) Wat een trut het, $_SERVER.
Een sessie afbreken kan dus alleen als je je browser afsluite, of als je browser er geen zin meer in heeft! Is dat wat je wilt!?
Daarnaast is een formuliertje iets gebruikersvriendelijker (vind ik) omdat je er links naast kan zetten etc, en toch het formulier in kan vullen. Een HTTP Auth box is echt alleen dat. Geen plaatje, woord of link te vinden. Pas als je op cancel drukt. Jammer.
@nano
Nee variabelen unsetten kan niet. Unsetten kan natuurlijk wel :) Maar probeer maar eens $_SERVER['REMOTE_ADDR'] te unsetten... Het komt elke keer terug ;) Wat een trut het, $_SERVER.
Een sessie afbreken kan dus alleen als je je browser afsluite, of als je browser er geen zin meer in heeft! Is dat wat je wilt!?
Edit:
Ook wordt in het geval van BASIC HTTP Auth de logindata redelijk plain (base64) over de lijn gegooid. Gebruik dus liever DIGEST, als je http auth wil gebruiken. Dat is iets veiliger: http authentication digest
0 -0
-0
kan je niet uitloggen dan zonder browser herstart?
wel wat onhandig hier op mac, want als alle vensters uit zijn is safari nog steeds open..
kan je niet uitloggen door dit te doen?
EDIT: en waar kom je terecht als je op annuleren klikt?
wel wat onhandig hier op mac, want als alle vensters uit zijn is safari nog steeds open..
kan je niet uitloggen door dit te doen?
Code (php)
1
2
3
4
2
3
4
<?
$_SERVER['PHP_AUTH_USER'] = '';
$_SERVER['PHP_AUTH_PW'] = '';
?>
$_SERVER['PHP_AUTH_USER'] = '';
$_SERVER['PHP_AUTH_PW'] = '';
?>
EDIT: en waar kom je terecht als je op annuleren klikt?
0 -0
-0
@HIPSKA:
Probeer het eens?^^
Normaal gezien kom je dan bij hetzelfde form terecht, aangezien er gen username wordt gesubmit..
Jens
Probeer het eens?^^
Normaal gezien kom je dan bij hetzelfde form terecht, aangezien er gen username wordt gesubmit..
Jens
0 -0
-0
$row = mysql_fetch_array ($res) //Array opbouwen.
Moet
$row = mysql_fetch_array ($res) ; //Array opbouwen.
zijn.
Moet
$row = mysql_fetch_array ($res) ; //Array opbouwen.
zijn.
Om te reageren heb je een account nodig en je moet ingelogd zijn.
PHP hulp
0 seconden vanaf nu