beveiligings class veilig genoeg?

dennis

20/07/2009 00:40:00

beste PHP hulpers,

ik heb een beveiligings class gebouwd die ik universeel wil gaan gebruiken binnen mijn projecten. mijn vraag aan jullie kunnen jullie hem is bekijken en mij wijzen op fouten/lekken in de beveiliging en wellicht tips geven.

aub geen commentaar geven op het mogelijk onjuist gebruik van OOP maar dit is mijn manier van OOP gebruiken en ik vind hem zo fijn.

het script
class.auth.php

Code (php)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98

<?php
//class.auth.php
//last modified 19/07/2009
//version 1.0

class authorization {

    public    $minlvl    = null;
    public  $error     = null;
    private    $db        = null;

    function __construct($minlvl = '0')
    {
        $this->minlvl = $minlvl;
        $this->db = new database();
        $this->login_check();
    }

    //login_check, checks if user has acces to the current page
    protected function login_check()
    {
        if (($_SERVER['REQUEST_URI'] == "/login/") or ($this->minlvl == "0")){
            return false;
        }

        if ($_SESSION['adminlvl'] < $this->minlvl){
            $this->logout();
        }

        if($_SESSION['fingerprint'] == hash("sha512",$_SERVER['REMOTE_ADDR'].$_SERVER['HTTP_USER_AGENT'].$_SERVER['HTTP_ACCEPT_LANGUAGE'].$_SERVER['HTTP_ACCEPT_ENCODING'].$_SERVER['DOCUMENT_ROOT']."authorized")){
            return true;
        } else {
            $this->logout();
        }
    }

    //login, verify the user's credentials and give him/her acces
    protected function login($username = '',$password = '',$redirect = '')
    {

        if((!empty($username)) && (!empty($password)) && ($_SERVER['HTTP_HOST'] == HTTP_HOST) && ($_SERVER['SCRIPT_NAME'] == '/login.php'))
        {
            $password = hash("sha512",SALTKEY.$password);
            $query = $this->db->query("SELECT user_id,adminlvl,ipadres FROM users WHERE username = '".$username."' AND password = '".$password."'");

            if($this->db->num_rows($query) != 1)
            {
                $this->error = "Verkeerde username of password";
                return false;
            }
            else
            {
                $rec = $this->db->fetch_assoc($query);

                $_SESSION['user_id']    = $rec['userid'];
                $_SESSION['adminlvl']    = $rec['adminlvl'];
                $_SESSION['username']    = $username;
                $_SESSION['lastip']        = $rec['ipadres'];
                $_SESSION['fingerprint'] = hash("sha512",$_SERVER['REMOTE_ADDR'].$_SERVER['HTTP_USER_AGENT'].$_SERVER['HTTP_ACCEPT_LANGUAGE'].$_SERVER['HTTP_ACCEPT_ENCODING'].$_SERVER['DOCUMENT_ROOT']."authorized");

                if(!empty($redirect))
                {
                    header("Location: ".$redirect);
                }
                else
                {
                    if(SSL == "1")
                    {
                        header("Location: https://".HTTP_HOST."/");
                    }
                    else
                    {
                        header("Location: http://".HTTP_HOST."/");
                    }
                }

                return true;
            }
        }
        else
        {
            $this->error = "Aanmelden mislukt";
            return false;
        }
    }

    //logout, safely destroy the acces token and redirect the user to the login form
    public function logout()
    {
        unset($_SESSION);
        session_destroy();
        header('Location:/login/');
        exit();
    }
}

$auth = new authorization();
?>

PHP hulp

07/03/2025 07:15:17

Deze site laat je geen account deleten

20/07/2009 01:38:00

Je zet $username in een query zonder mysql_real_escape_string aan te roepen. Verder vind ik persoonlijk sha512 een beetje te overdreven :), dat je niet de standaard sha1 of md5 gebruikt is mooi, maar bij mij is de max toch wel sha256, die wordt de komende jaren echt nog niet binnen bruikbare tijd gekraakt. Verder heb ik er niks op aan te merken.

sha256 is ook aanzienlijk sneller dan 512 trouwens: http://nl.php.net/manual/en/function.hash.php kijk eerste comment

Gewijzigd op 01/01/1970 01:00:00 door Deze site laat je geen account deleten

dennis

20/07/2009 01:52:00

@ teuneboon,

ik gebruik geen mysql_real_escape_string, omdat ik niet altijd mysql gebruik.
Dit systeem moet met meerdere SQL databases kunnen werken dus afhankelijk van welke database class jij inlaad (pgsql,mysql,mssql). Alle beveiliging omtrent de database worden uitgevoerd in de database class waar een query dus BV: door mysql_real_escape_string gaat. (in de mysql versie van de database class dan).

TJVB tvb

20/07/2009 09:23:00

Hoe ga je een volledige query door een escape functie halen? En waarom gebruik je dan geen pdo? Dan hoef je niet je eigen database classes te schrijven.

dennis

20/07/2009 12:14:00

@teuneboon & TJVB,

ik heb gevraagd om de veiligheid van de login class te bespreken, niet over de de verwerking van de query's die wordt veilig afgehandeld door mijn intelligente database class die uitleest waar de user input zich bevind.

mensen graag bekritiseren over de veiligheid van het login systeem en eventuele tips, verbeteringen.

Erik Rijk

20/07/2009 12:20:00

Hoi Dennis,

Je vraagt mensen naar de beveiliging.
Wij kunnen niet zien wat jou database class doet. Ik vind het dus geen rare vraag waarom mensen zich afvragen waarom je geen foutafhandeling in je query toepast, dat kan je nergens terug vinden.

Misschien handig om dat deel er dus even bij te plaatsen, dan is het voor iedereen duidelijk! :)

Forum berichten

Reacties

PHP scripts

PHP tutorials

Actief op PHPhulp

beveiligings class veilig genoeg?

dennis

PHP hulp

Deze site laat je geen account deleten

dennis

TJVB tvb

dennis

Erik Rijk

Over PHPhulp

Support

Gesponsord

Extra's

Privacy