Veilig loginsysteem (MySQL)
Door Bram Boos, 17 jaar geleden, 23.308x bekeken
Met beveiliging voor Sessie hijacking, SQL injectie en maakt gebruik van password encryptie.
Veiligheid kan ik met dit script niet garanderen, belangrijk is om altijd goed op te letten want je bent zelf verantwoordelijk.
Ik weet dat er veel verschillende scripts op PHPhulp staan waarvan zeker meer dan de helft verouderd of niet veilig is.
Met dit script wil ik dat beginnend PHP-end Nederland ook veilige websites kan maken.
Getest op:
* Windows 7 (64bit) met PHP 5.3.0, MySQL 5.1.36 en Apache 2.2.11
* Windows 7 (32bit) met PHP 5.3.0, MySQL 5.1.36 en Apache 2.2.11
* Windows XP (32bit) met PHP 5.3.0, MySQL 5.1.36 en Apache 2.2.11
* Debian 5.0 (??bit) met PHP 5.2.14, MySQL 5.1.51 en Apache 2.2.16
Volgende release: 01-01-2011
Komt nog:
* Simpele registreer pagina
* Logout pagina
* Salt
* Verbeterde foutafhandeling
Voorbeeld (user: demo - pass: test)
Download (V 1.1)
Bug melding
Graag onderbouwde kritiek in plaats van 'domme' opmerkingen.
Bugs graag melden op de daarvoor bestemde website en niet bij de reacties. Zo kan alles sneller afgehandeld worden!
Gesponsorde koppelingen
PHP script bestanden
- Login pagina (login.php)
- MySQL
- Default pagina (index.php)
- Connectie pagina (conn.php)
- Check pagina (check.php)
Er zijn 30 reacties op 'Veilig loginsysteem mysql'
Loginnaam/wachtwoord bij voorbeeld?...
- Salt ontbreekt.
- Sessions hebben ook hun eigen id.
- Echo van dat je geblokkeerd bent komt in het niets c.q. boven je html terecht?
- S.V.P. code tussen [code] en [/code] tags plaatsen.
- Melding dat er geen verbinding met database kon worden gemaakt komt ook in het niets terecht.
- Error reporting altijd uit op een live website.
- Onveilig systeem. Het koekje hebben en op hetzelfde ip zitten (bijvoorbeeld school) is voldoende om ingelogd te zijn.
- Geen logout?
- Geen referentie constraint op de tabellen?
- Sessions hebben ook hun eigen id.
- Echo van dat je geblokkeerd bent komt in het niets c.q. boven je html terecht?
- S.V.P. code tussen [code] en [/code] tags plaatsen.
- Melding dat er geen verbinding met database kon worden gemaakt komt ook in het niets terecht.
- Error reporting altijd uit op een live website.
- Onveilig systeem. Het koekje hebben en op hetzelfde ip zitten (bijvoorbeeld school) is voldoende om ingelogd te zijn.
- Geen logout?
- Geen referentie constraint op de tabellen?
Dankje Karl! Ik ga er mee aan de slag!
Overigens, error reporting staat aan om eventuele bugs op te sporen. Verder staat alles tussen code tags.
Overigens, error reporting staat aan om eventuele bugs op te sporen. Verder staat alles tussen code tags.
ik mis,
- Wachtwoord vergeten
- Registreren
- Wachtwoord veranderen
- Wachtwoord vergeten
- Registreren
- Wachtwoord veranderen
0 
-0 
-0
Het is een loginsysteem, geen gebruikerspaneel ofzo...
De dingen die jij opnoemt zijn heel simpel te maken en zoals ook in de omschrijving staat komt er nog een simpele registreer pagina.
De dingen die jij opnoemt zijn heel simpel te maken en zoals ook in de omschrijving staat komt er nog een simpele registreer pagina.
Hoezo Mysql? Je gebruikt Mysqli!
- Onveilig systeem. Het koekje hebben en op hetzelfde ip zitten (bijvoorbeeld school) is voldoende om ingelogd te zijn.
En hoe wil je dat voorkomen?
En hoe wil je dat voorkomen?
0 -0
-0
Je kan desnoods een fingerprint maken van de user agent, maar dat voegt vrij weinig toe.
0 -0
-0
Stel je zit in een school/bedrijfsnetwerk dan gebruikt iedereen meestal dezelfde browser. Updates gebeuren dan ook allemaal op hetzelfde moment dus daar kun je ook geen onderscheid in maken.
Lachen ^^
Even serieus, je moet nooit display_errors op On zetten in een productieomgeving, en zeker niet de databasefouten publiek maken.
Log alles stilletjes en geef een passende melding, bijvoorbeeld dat de dienst (tijdelijk) niet beschikbaar is.
0 -0
-0
@Bram, ja, er is natuurlijk geen waterdicht systeem te maken. Maar zoals ik al zei, voegt het vrij weinig, maar toch wel wat, toe
@Peter;
Lezen is toch moeilijk:
En waarom moeilijk doen met logging en alles?? Dit is een script, geen website...
Lezen is toch moeilijk:
Quote:
Overigens, error reporting staat aan om eventuele bugs op te sporen.
En waarom moeilijk doen met logging en alles?? Dit is een script, geen website...
0 -0
-0
@Bram
Inderdaad, lezen is heel moeilijk voor jou.
Ik heb geen problemen met error_reporting(E_ALL), ik raad het zelfs aan. Maar fouten moet je niet in een productieomgeving weergeven.
Dit is een script dat onderdeel kan uitmaken van een site.
Warning: Supplied argument is not a valid MySQL result resource in /www/vhost/phphulp/includes/php-scripts.php on line 238
Inderdaad, lezen is heel moeilijk voor jou.
Ik heb geen problemen met error_reporting(E_ALL), ik raad het zelfs aan. Maar fouten moet je niet in een productieomgeving weergeven.
Dit is een script dat onderdeel kan uitmaken van een site.
Warning: Supplied argument is not a valid MySQL result resource in /www/vhost/phphulp/includes/php-scripts.php on line 238
Dat begrijp ik best alleen het is aan de gebruiker wat die ermee doet.
Wat moet je met een inlogsysteem zonder dat er een registreer systeem bijzit??
@Thomas Jansen;
Lees eerst de andere reacties eens. Ik heb een paar reacties hiervoor duidelijk gemaakt dat je een registreer pagina eenvoudig zelf kunt maken.
Lees eerst de andere reacties eens. Ik heb een paar reacties hiervoor duidelijk gemaakt dat je een registreer pagina eenvoudig zelf kunt maken.
Ik heb die reactie gelezen... Maar staad ergens hoe??
Dan snap ik dat jullie het mischien raar vinden als iemand van 11 op deze site zit,maar ik kan niet weten hoe je die registeerpagina moet maken.
Dan snap ik dat jullie het mischien raar vinden als iemand van 11 op deze site zit,maar ik kan niet weten hoe je die registeerpagina moet maken.
0 -0
-0
@ Thomas: dat is niet raar hoor, je bent niet de enige (ik niet hoor). Maar als je dat allemaal niet snapt, dan kan je beter een tutorial gaan lezen of boeken lezen.
Waarom gebruik je eigenlijk affected_rows, en niet num_rows?
@Chris;
Dat was het eerste resultaat op de website van php. Zijn er voordelen en nadelen dan? Ben benieuwd.
Dat was het eerste resultaat op de website van php. Zijn er voordelen en nadelen dan? Ben benieuwd.
0 -0
-0
Is het verstandig deze te gebruiken of raden jullie me een ander script aan viind niet echt nieuwe scrips in dit genre?
@ Joey
Als je een beetje ervaring met PHP hebt zal ik dit je zeker aanraden. Heb je dit niet, dan zal je toch echt eerst PHP moeten leren omdat er geen registratie-formulier bij zit.
Verder is het wel goed veilig! En anders? Google!
Als je een beetje ervaring met PHP hebt zal ik dit je zeker aanraden. Heb je dit niet, dan zal je toch echt eerst PHP moeten leren omdat er geen registratie-formulier bij zit.
Verder is het wel goed veilig! En anders? Google!
0 -0
-0
Ik wil dit script graag gaan gebruiken. Is dit nog steeds een veilig loginsysteem?
tuurlijk maar de script zal je niet meer vinden via zijn site.
aangezien hij een fout had op zijn host.
aangezien hij een fout had op zijn host.
Thanks Williy.
Gelukkig dat de script bestanden nog op phphulp staan.
Gelukkig dat de script bestanden nog op phphulp staan.
Dat klopt inderdaad, door de installatie van wordpress zijn alle overige bestanden verloren gaan. Binnenkort zal ik een nieuwe versie uploaden met daarin betere wachtwoord encryptie(salt) en unieke sessies.
0 -0
-0
Sorry voor deze onnodige bump, maar dit script is vulnable voor SQLi, als iemand zijn REMOTE ADDR aanpast naar -'SELECT * FROM users UNION intikt, ben je "dood"
Sommige mensen gebruiken dit systeem nog, daarom deze post
Sommige mensen gebruiken dit systeem nog, daarom deze post
Om te reageren heb je een account nodig en je moet ingelogd zijn.
Inhoudsopgave
- Login pagina (login.php)
- MySQL
- Default pagina (index.php)
- Connectie pagina (conn.php)
- Check pagina (check.php)
PHP hulp
0 seconden vanaf nu