login  Naam:   Wachtwoord: 
Registreer je!
 Forum
Zoeken  Regels  Help
Categorieën > PHP > Simpel php loginsysteem
Onderwerp: Simpel php loginsysteem
Door: jasper56
Op: 08/02/2010 17:40
Offline offline




Nieuw lid
 Ik heb voor een opdracht een simpel loginsysteem gemaakt, maar omdat ik nog maar net begonnen ben met PHP en MySQL was ik benieuwd wat ik nog zou kunnen verbeteren.
Dit is de code die ik nu heb:
index.php
  1. <?php
  2.  
  3. if($_SERVER['REQUEST_METHOD'] == 'POST'){
  4. 	//login
  5. 	mysql_connect ("localhost", "root", "****") or die (mysql_error());
  6. 	//echo" connected to MySQL<br />" ;
  8. 	//echo "Connect to DB<br />";
  9.  
  10. 	$username = 	strip_tags(mysql_real_escape_string($_POST['username']));
  11. 	$password = 	strip_tags(mysql_real_escape_string($_POST['password']));
  12. 	$password2 = 	strip_tags(mysql_real_escape_string($_POST['password']));
  13.  
  14. 	$password = md5('grootgeheim'.$password);
  15. 	$password2 = sha1('grootgeheim'.$password2);
  16.  
  17. 	$resultc = mysql_query("select count(*) FROM users where username='$username' and password='$password' and password2='$password2' ") or die (mysql_error());
  18. 	$res = mysql_result($resultc, 0);
  19.  
  20. 	//print_r($res);
  21.  
  22.  
  23. 	if($res == 1) {
  25. 		$_SESSION['id'] = md5('ghjh78fgs53bghg5454bsio'.$username);
  26. 		$result = mysql_query("SELECT * FROM users where username='$username' and password='$password' and password2='$password2' ") or die (mysql_error());
  27. 		$row = mysql_fetch_array($result) or die (mysql_error());
  28.  
  29. 		$_SESSION['rights'] = $row['rights'];
  30.  
  31. 		if($row['rights'] == "1") $rights = "Gebruiker";
  32. 		if($row['rights'] == "2") $rights = "Moderator";
  33. 		if($row['rights'] == "3") $rights = "Administratotr";
  34.  
  35.  
  36.  
  37. 		echo "Username: ".$row['username']." <br /> \n";
  38. 		echo "Password: ".$row['password']." <br /> \n";
  39. 		echo "Password2: ".$row['password2']." <br /> \n";
  40. 		echo "real_name: ".$row['real_name']." <br / \n>";
  41. 		echo "Rights: ".$rights."<br /> \n";
  42. 		echo "<br /> \n";
  43. 		echo "Session value's<br /> \n";
  44. 		echo "Session rights: ".$_SESSION['rights']."<br /> \n";
  45. 		echo "Session ID: ".$_SESSION['id']."<br /> \n";
  46. 		echo "<a href=\"logout.php\">Log out</a> \n";
  47.  
  48.  
  49.  
  50. 	}
  51.  
  52. 	else{
  53. 		exit("Weg wezen");
  54. 	}
  55. }
  56. else{
  57. ?>
  58.  
  59. <form id="loginform" method="post" action="">
  60. Username: <input type="text" name="username" /><br />
  61. Password: <input type="password" name="password" /><br />
  62. <input type="submit" value="Login" />
  63.  
  64. <?php
  65. }
  66. ?>

logout.php
  1. <?php
  2.  
  4. if(isset($_SESSION['id']) == 'true'){
  6. 		echo "Session sucesfully destroid";
  7. 	}
  8. 	else{
  9. 		echo "Can't destroy the session";
  10. 	}
  11. }
  12. else{
  13. 	echo "Not logged in";
  14. }
  15.  
  16. ?>


Pagina:

Door: Jelmerholland
Op: 08/02/2010 19:25
#1
Offline offline



PHP beginner
Zou je dit niet bij showcase neerzetten?

Door: Martijn
Op: 08/02/2010 19:37
#2
Offline offline



Admin
@ jelmer, showcase is meer voor dingen die af zijn, niet zoals dit.

@ jasper, je kunt ook je eigen functie maken. Dat doe je zo
  1. function naarDatabase($string){
  2.     $string = mysql_real_escape_string($string);
  3.     $string = strip_tags($string);
  4.     return $string;
  5.     }


Dan vervolgens doe je gewoon 
  1. $username = naarDatabase($_POST['username']);


Met de rest natuurlijk ook. Waarom? Simpel. Stel je besluit nog iets te doen met alles wat je de database in schuift, dan hoef je alleen die functie aan te passen en dan word alles meteen goed gedaan. Hier maakt dat nog niet zoveel uit, maar als je heel veel dingen hebt, kun je die functie overal gebruiken, en dus heel snel alles veranderen door dat ene ding aan te passen

verder:
  1. if(isset($_SESSION['id']) == 'true'){
  2. // mag gewoon worden:
  3. if(isset($_SESSION['id'])){


Dan doe je ook "$row = mysql_fetch_array". Je kunt beter 'array' vervangen door 'assoc'. Assoc is sneller, en dan gebruik je het zo:
$row['kolomnaam']. Hetzelfde als nu dus. als je 'array' heb, werkt $row[0] en $row[3] enzo ook, maar die gebruik je niet dus dat remt onnodig af

Voor de rest ziet het er prima uit

Door: jasper56
Op: 08/02/2010 22:13
Laatste wijziging: 08/02/2010 22:20
#3
Offline offline



Nieuw lid
@martijn
dank je wel voor je reactie,
En is er misschien nog iets dat ik het beter kan beveiligen?? Had wel al het een en ander op internet opgezocht maar kon er niet echt goed uitkomen hoe ik het beter kan beveiligen.

edit,
Heb het nu toegepast, is nu het volgende geworden:
  1. <?php
  2.  
  3.  
  4. function naarDatabase($string){
  5. 	$string = mysql_real_escape_string($string);
  6. 	$string = strip_tags($string);
  7. 	return $string;
  8. }
  9.  
  10. if($_SERVER['REQUEST_METHOD'] == 'POST'){
  11. 	//login
  12.  
  13. 	mysql_connect ("localhost", "root", "****") or die (mysql_error());
  14. 	//echo" connected to MySQL<br />" ;
  15. 	mysql_select_db("vanoeffelhaarlem") or die (mysql_error());
  16. 	//echo "Connect to DB<br />";
  17.  
  18. 	$username = 	naarDatabase($_POST['username']);
  19. 	$password = 	naarDatabase($_POST['password']);
  20. 	$password2 = 	naarDatabase($_POST['password']);
  21.  
  22. 	$password = md5('grootgeheim'.$password);
  23. 	$password2 = sha1('grootgeheim'.$password2);
  24.  
  25. 	$resultc = mysql_query("select count(*) FROM users where username='" . $username . "' and password='" . $password . "' and password2='" . $password2 . "' ") or die (mysql_error());
  26. 	$res = mysql_result($resultc, 0);
  27.  
  28. 	//print_r($res);
  29.  
  30.  
  31. 	if($res == 1) {
  33. 		$_SESSION['id'] = md5('ghjh78fgs53bghg5454bsio'.$username);
  34. 		$result = mysql_query("SELECT * FROM users where username='".$username."' and password='".$password."' and password2='".$password2."' ") or die (mysql_error());
  35. 		$row = mysql_fetch_assoc($result) or die (mysql_error());
  36.  
  37. 		$_SESSION['rights'] = $row['5'];
  38.  
  39. 		if($row['5'] == "1") $rights = "Gebruiker";
  40. 		if($row['5'] == "2") $rights = "Moderator";
  41. 		if($row['5'] == "3") $rights = "Administratotr";
  42.  
  43.  
  44.  
  45. 		echo "Username: ".$row['1']." <br /> \n";
  46. 		echo "Password: ".$row['2']." <br /> \n";
  47. 		echo "Password2: ".$row['3']." <br /> \n";
  48. 		echo "real_name: ".$row['4']." <br / \n>";
  49. 		echo "Rights: ".$rights."<br /> \n";
  50. 		echo "<br /> \n";
  51. 		echo "Session value's<br /> \n";
  52. 		echo "Session rights: ".$_SESSION['rights']."<br /> \n";
  53. 		echo "Session ID: ".$_SESSION['id']."<br /> \n";
  54. 		echo "<a href=\"logout.php\">Log out</a> \n";
  55.  
  56.  
  57.  
  58. 	}
  59.  
  60. 	else{
  61. 		exit("Weg wezen");
  62. 	}
  63. }
  64. else{
  65. ?>
  66.  
  67. <form id="loginform" method="post" action="">
  68. Username: <input type="text" name="username" /><br />
  69. Password: <input type="password" name="password" /><br />
  70. <input type="submit" value="Login" />
  71. </form>
  72. <?php
  73. }
  74. ?>

Door: TotempaaltJ
Op: 09/02/2010 08:57
Laatste wijziging: 09/02/2010 09:06
#4
Offline offline



PHP interesse
Er klopt iets niet; waarom sla je het wachtwoord twee keer op in de database, een keer met sha1 en een keer met md5? Als iemand al je database hackt en hij krijgt een van deze wachtwoorden (kleine kans) weet hij ze dus allebei. Waarom twee opslaan?

Edit: or die (mysql_error()); gebruiken in een live script is niet zo handig, dan kunnen de gebruikers meteen zien wat de error is en daar eventueel misbruik van maken.
Ik zou het vervangen door een eigen error_report functie:
  1. function ReportSQLError($error) {
  2.     $file = 'sqllog.txt';
  3.     $datetime = date("d/m/y H:i:s")
  4.     $logentry = "[" . $datetime . "] " . $error . "\n";
  5.     file_put_contents($file, $logentry, FILE_APPEND);
  6.     mail('jouw_email', 'MySQL Error in Login.php', $logentry);
  7. }


De mail-functie moet je even naar behoren aanpassen.
Wat dit doet is: Het schrijft de error en datum weg in het bestand sqllog.txt en mailt jou de error. 

Door: Wave6
Op: 09/02/2010 09:25
#5
Offline offline



PHP beginner
Je moet niet aan andere programmeurs vragen of je code beter kan. Namelijk, het kan altijd beter! Hoe goed je ook programmeert! Er is altijd wel 1 slimmerik die het net even beter weet;)

Door: larssy1
Op: 09/02/2010 15:52
#6
Offline offline



MySQL beginner
@D_O
Uit eindelijk is de code zo minimaal dat ie niet meer kleiner kan, en moeilijk te verbeteren is en dan snap ik er niks meer van XD

offtopic: Altijd als ik zelf een ledensysteem maak.. gebruik ik Sessies inplaats van coockies.. Maar wat raden jullie nou eigenlijk aan?? Ikzelf vind Sessies echt heelrijk lopen.. maar brengt dit nou eigenlijk problemen met zich mee??

Om hier een discussie te voorkomen.. gelieve me een PB te sturen =)

Door: jasper56
Op: 09/02/2010 17:39
Laatste wijziging: 09/02/2010 17:41
#7
Offline offline



Nieuw lid
@TotempaaltJ
Dank je wel, ga ik zeker toepassen in me scripts, alleen waarom zou je het en mailen en opslaan in een .txt. Een hacker kan dan toch ook op zoek gaan naar me errorlogs? en hoe roep je jouw functie aan, gewoon zo: ReportSQLError(mysql_error());???
@D_O
Ik vraag of ik dit beter/anders kan doen omdat ik nog niet zo ervaren ben met php en ik graag wil weten hoe andere mensen dit doen.

Door: TotempaaltJ
Op: 09/02/2010 18:03
Laatste wijziging: 09/02/2010 18:06
#8
Offline offline



PHP interesse
jasper56 schreef:
@TotempaaltJ
Dank je wel, ga ik zeker toepassen in me scripts, alleen waarom zou je het en mailen en opslaan in een .txt. Een hacker kan dan toch ook op zoek gaan naar me errorlogs?
Je moet $file aanpassen naar een bestand dat niet in de home-directory van je website staat, dus als je website staat in /jasper56/http_files, hem bijv zetten in /jasper56/log.txt of /jasper56/logs/log.txt oid, dan kan een hacker er niet bij.

jasper56 schreef:
en hoe roep je jouw functie aan, gewoon zo: ReportSQLError(mysql_error());???
Jup, helemaal perfect 

jasper56 schreef:
offtopic: Altijd als ik zelf een ledensysteem maak.. gebruik ik Sessies inplaats van coockies.. Maar wat raden jullie nou eigenlijk aan?? Ikzelf vind Sessies echt heelrijk lopen.. maar brengt dit nou eigenlijk problemen met zich mee??
Sessies, altijd! Cookies worden namelijk opgeslagen op de computer van de gebruiker en kan hij dus zomaar aanpassen en daarmee zichzelf bijv in Admin ofzo veranderen. Sessies worden, daarentegen, opgeslagen op de server en kan de gebruiker dus niet aanpassen.
Overigens maakt de sessie standaard ook gebruik van cookies, maar dan staat er maar een ding in: het unieke id van de sessie, zodat hij weet welke sessie hij moet hebben.

Door: Martijn
Op: 09/02/2010 19:23
#9
Offline offline



Admin
onjuist van de sessies sessie is ook een cookie. Alleen een heel stuk lastiger te bereiken. Iig niet voor de gemiddelde gebruiker

Door: jasper56
Op: 09/02/2010 19:37
#10
Offline offline



Nieuw lid
wat is eigenlijk veiliger om te gebruiken, md5, sha1 of een combinatie van beide??


Pagina:

Je moet ingelogd zijn om een reactie te kunnen posten...
Actieve forumberichten:

© 2002-2010 Sitemasters.be - Regels - Gehost door: Netfeed - Laadtijd: 0.245s