Scripts - Tutorials - Forum - Downloads - Showcase - Contact

Artikels

VPN vergelijken

Algemeen

Beginpagina

FAQ

Grafische worm (243)

Links

Nieuwsartikels

Nieuwsarchief

Boeken programmeren

Overzicht

Samenwerken

Webhosting

Zoek op Sitemasters

Leden

Registreren

Ledenlijst

Ons team

Links

webhostingtop10.be

Sociale media

Follow @sitemasters

Sitemasters

Adverteren op Sitemasters?

Contacteer ons

RSS

Link naar ons

Donaties

Poll

Je moet ingelogd zijn om te stemmen.

Statistieken

Linkpartners

Forum

Categorieën > PHP

Login

SalCro - 11/07/2005 21:40 (laatste wijziging 11/07/2005 22:04)

HTML interesse

Hallo,
Ik ben reeds begonnen met mijn login pagina voor op mijn website.
Nu vroeg ik me af als ik goed begonnen ben.

Login.php

php code - Bekijk de code zonder highlighting - Klap code in

<?php
/*-- login.php --*/
$usern = addslashes($usern);
$pass = addslashes($pass);
$geldig = addslashes($geldig);
if (isset($_POST['submit'])) { //Gedrukt op submit...
//Starten
function user_login { //functie
  global $usern;
  global $pass;
  global $geldig;
$db mysql_connect("localhost", "admin", "admin"); 
mysql_select_db("members", $db);
$query = "SELECT * FROM user_info WHERE username = '" . $usern . "' AND password = '" . $pass . "'";
$result = mysql_query($query);
$geldig = mysql_num_rows($result);
}
user_login();
                  
//...

                    echo "Je bent nu ingelogd," . $usrn . <br>;
                    echo "Klik <a href=\"?module=index\">hier</a> om terug te keren naar de hoofdpagina";
             } else { echo "Foute login, Probeer opnieuw";
    }
?>

<p class="small">Login voor leden, als je nog niet geregistreerd bent klik dan <a href="?module=register1">Hier</a></p>

/* -- Formulier -- */


<?php
}
>

<?php
/*-- login.php --*/
$usern = addslashes($usern);
$pass = addslashes($pass);
$geldig = addslashes($geldig);
if (isset($_POST['submit'])) { //Gedrukt op submit...
//Starten
function user_login { //functie
  global $usern;
  global $pass;
  global $geldig;
$db mysql_connect("localhost", "admin", "admin"); 
mysql_select_db("members", $db);
$query = "SELECT * FROM user_info WHERE username = '" . $usern . "' AND password = '" . $pass . "'";
$result = mysql_query($query);
$geldig = mysql_num_rows($result);
}
user_login();
 
//...
 
                    echo "Je bent nu ingelogd," . $usrn . <br>;
                    echo "Klik <a href=\"?module=index\">hier</a> om terug te keren naar de hoofdpagina";
             } else { echo "Foute login, Probeer opnieuw";
    }
?>
 
<p class="small">Login voor leden, als je nog niet geregistreerd bent klik dan <a href="?module=register1">Hier</a></p>
 
/* -- Formulier -- */
 
 
<?php
}
>

18 antwoorden

Gesponsorde links

Dolfje - 11/07/2005 21:52
PHP ver gevorderde		helemaal niet, XSS-exploit :!: moest ik naar je site gaan dan is je database kapot index.php?pass=' DROP TABLE 'user_info je moet pass en usern en geldig addslashes doen.

SalCro - 11/07/2005 21:57
HTML interesse		Citaat: je moet pass en usern en geldig addslashes doen. Hoe bedoel je ??

Dolfje - 11/07/2005 22:00
PHP ver gevorderde		ben je mee dat ik $pass kan veranderen in wat ik wil? dan kan ik $pass veranderen naar: ' DROP TABLE 'user_info dan word jouw query: SELECT * FROM user_info WHERE username = '" . $usern . "' AND password = '' DROP TABLE 'user_info' en met DROP TABLE doe ik gewoon de database user_info weg. nu om dit te voorkomen doe je rond alle variable's: $usern = addslashes($usern); en dan word voor alle ' en " een \ gezet waardoor het bovenstaande niet meer lukt.

SalCro - 11/07/2005 22:03 (laatste wijziging 11/07/2005 22:05)
HTML interesse		Ik heb het aangepast Wat is eigenlijk het veiligst met cookies werken of met sessies Dus moet je eigenlijk bijna altijd je variabelen met addslashes(); doen om een veiligheidslek te voorkomen ?

Dolfje - 11/07/2005 22:05 (laatste wijziging 11/07/2005 22:12)
PHP ver gevorderde		alletwee tegelijk. cookies kan je alleen gebruiken als de personen altijd moeten ingelogd zijn, ook als ze hun venster sluiten en weer opendoen. Wat ik je ook aanraad is alles wat je in cookies zet met een md5() te encoderen en nooit een hele passwoord in een cookie zetten. [edit] als je met beide wilt werken, moet je eerst kijken als ze een cookie hebben, dan als ze een sessie hebben. hebben ze alletwee moet je kijken als ze aan elkaar gelijk zijn en als de values kloppen. Als er maar 1 is kijk je alleen als de values kloppen [edit2] wat ik ook voorstel is om je paswoorden niet zomaar in een database te zetten maar er ook eerst een md5() of sha5() hash rond te zetten [edit3] nog een grote fout, het is niet omdat de submit er is dat de member direct ingelogd moet zijn: $usern = addslashes($usern); $pass = addslashes($pass); $geldig = addslashes($geldig); if (isset($_POST['submit'])) { //Gedrukt op submit... //Starten function user_login { //functie global $usern; global $pass; global $geldig; $db mysql_connect("localhost", "admin", "admin"); mysql_select_db("members", $db); $query = "SELECT * FROM user_info WHERE username = '" . $usern . "' AND password = '" . $pass . "'"; $result = mysql_query($query); $geldig = mysql_num_rows($result); return $geldig; } if( user_login() ) { echo "Je bent nu ingelogd," . $usrn . <br>; echo "Klik <a href=\"?module=index\">hier</a> om terug te keren naar de hoofdpagina"; } else { echo "Foute login, Probeer opnieuw"; } } else { echo "Foute login, Probeer opnieuw"; }

Dolfje - 11/07/2005 22:13
PHP ver gevorderde		k'zal maar stoppen met te editten: Citaat: Dus moet je eigenlijk bijna altijd je variabelen met addslashes(); doen om een veiligheidslek te voorkomen ? Ja, als je iets in een mysql_query zet als je iets uitprint (echo of print) moet je htmlspecialchars() doen

SalCro - 11/07/2005 22:17
HTML interesse		dus als ik bijvoorbeeld een gebruikersnaam uit mijn db haal en wil weergeven moet ik het met htmlspecialchars() doen ?

Dolfje - 11/07/2005 22:17 (laatste wijziging 11/07/2005 22:18)
PHP ver gevorderde		yup, anders kunnen ze zichzelf <b> heten. en dan is heel je layout naar de knoppen. oftewel <script src='...'> en dan ...

SalCro - 11/07/2005 22:22
HTML interesse		Dus als ik het goed begrijp var in db steken = addslashes(); iets uit db halen en weergeven = htmlspecialchars(); sorry ben nogal lastig

Gerard - 11/07/2005 23:48
Ouwe rakker		stripslashes() niet vergeten natuurlijk.

SalCro - 11/07/2005 23:52
HTML interesse		waarvoor dient stripslashes dan ?:$

Gerard - 11/07/2005 23:54
Ouwe rakker		om die slashes weer weg te halen bij het displayen

SalCro - 12/07/2005 00:00
HTML interesse		als je iets uit je db haalt ?

cracker - 12/07/2005 00:21 (laatste wijziging 12/07/2005 00:42)

Onbekend

inloggen:

php code - Bekijk de code zonder highlighting - Klap code in

<?php
ini_set("register_globals", "0");
$usern = strip_tags(trim($_POST['usern']));
$pass = sha1(strip_tags(trim($_POST['pass'])));
function user_login {
  global $usern;
  global $pass;
  global $geldig;
$db=mysql_connect("localhost", "admin", "admin");
mysql_select_db("members", $db);
$query = "SELECT * FROM user_info WHERE username = '" . $usern . "' AND password = '" . $pass . "'";
$result = mysql_query($query);
$geldig = mysql_num_rows($result);
mysql_close();
}
if (isset($_POST['submit'])) { 
user_login();
if($geldig == "1"){
$gegevens = $usern . "+" . $pass;
setcookie ("SalcroDi_login", $gegevens,time()+3600, "", "", 0); //1 uur geldige cookie
echo("Je bent nu ingelogd, ".$usern.".\n<br>Klik <a href=\"?module=index\">hier</a> om naar de hoofdpagina te gaan");
} else {
echo("Foute login, Probeer opnieuw");
}
?>
<p class="small">Login voor leden, als je nog niet geregistreerd bent klik dan <a href="?module=register1">Hier</a></p>

<?php
ini_set("register_globals", "0");
$usern = strip_tags(trim($_POST['usern']));
$pass = sha1(strip_tags(trim($_POST['pass'])));
function user_login {
  global $usern;
  global $pass;
  global $geldig;
$db=mysql_connect("localhost", "admin", "admin");
mysql_select_db("members", $db);
$query = "SELECT * FROM user_info WHERE username = '" . $usern . "' AND password = '" . $pass . "'";
$result = mysql_query($query);
$geldig = mysql_num_rows($result);
mysql_close();
}
if (isset($_POST['submit'])) { 
user_login();
if($geldig == "1"){
$gegevens = $usern . "+" . $pass;
setcookie ("SalcroDi_login", $gegevens,time()+3600, "", "", 0); //1 uur geldige cookie
echo("Je bent nu ingelogd, ".$usern.".\n<br>Klik <a href=\"?module=index\">hier</a> om naar de hoofdpagina te gaan");
} else {
echo("Foute login, Probeer opnieuw");
}
?>
<p class="small">Login voor leden, als je nog niet geregistreerd bent klik dan <a href="?module=register1">Hier</a></p>

Opvragen status inloggen:

php code - Bekijk de code zonder highlighting - Klap code in

<?php
ini_set("register_globals", "0");
function loginstatus(){
global $geldig;
global $usern;
global $pass;
$db = mysql_connect("localhost","admin","admin");
mysql_select_db("members", $db) or die(mysql_error());
$query = "SELECT * FROM user_info WHERE username = '" . $usern . "' AND password = '" . $pass . "'";
$result = mysql_query($query);
$geldig = mysql_num_rows($result);
mysql_close();
}
if(isset($_COOKIE['SalcroDi_login'])){
$cookiedata = $HTTP_COOKIE_VARS['SalcroDi_login'];
list($usern, $pass) = explode("+", $cookiedata);
loginstatus();
if($geldig == "1"){
//alles weergeven
}else{
echo("Foute login ! - geknoeid met cookie !");
exit();
}
}else{
echo("U bent nog niet ingelogd !");
}
?>

<?php
ini_set("register_globals", "0");
function loginstatus(){
global $geldig;
global $usern;
global $pass;
$db = mysql_connect("localhost","admin","admin");
mysql_select_db("members", $db) or die(mysql_error());
$query = "SELECT * FROM user_info WHERE username = '" . $usern . "' AND password = '" . $pass . "'";
$result = mysql_query($query);
$geldig = mysql_num_rows($result);
mysql_close();
}
if(isset($_COOKIE['SalcroDi_login'])){
$cookiedata = $HTTP_COOKIE_VARS['SalcroDi_login'];
list($usern, $pass) = explode("+", $cookiedata);
loginstatus();
if($geldig == "1"){
//alles weergeven
}else{
echo("Foute login ! - geknoeid met cookie !");
exit();
}
}else{
echo("U bent nog niet ingelogd !");
}
?>

Al die optionele boel heb ik weggelaten, nu moogt ge content zijn Salcro

Maarten - 12/07/2005 03:05 (laatste wijziging 12/07/2005 03:06)
Erelid		Citaat: Al die optionele boel heb ik weggelaten De haakjes rond echo zijn ook optioneel, net zoals de quotes rond integers

cracker - 12/07/2005 03:06 (laatste wijziging 12/07/2005 03:08)
Onbekend		GAST stopt met snuiven Ge hebt echt wat tegen mij en dat is NIET leutig !!! Citaat: De haakjes rond echo zijn ook optioneel, net zoals de quotes rond integers 1: met haakjes is het duidelijker 2: bij integers is het dan ook overzichtelijker

Maarten - 12/07/2005 03:11
Erelid		1: Ik snuif niet, let een beetje op je woorden graag en een minder grote mond kan ook. 2: Ik zeg altijd: hoe minder tekens hoe kleiner het bestand en hoe overzichtelijker 3: Quotes rond integers gaan integers behandelen als karakters (oid, ben woord ff kwijt), en in dit geval maakt dit idd niet uit maar het is beter om over het algemeen netjes te werken, want in andere gevallen kan dit wel tot fouten resultateren (array indexes bijvoorbeeld dacht ik).

cracker - 12/07/2005 03:12 (laatste wijziging 12/07/2005 03:15)
Onbekend		Citaat: Ik snuif niet, let een beetje op je woorden graag en een minder grote mond kan ook. Doe dan zelf ook wat normaal astenblieft Murfy edit: ik geef gewoon een opmerking die tot een verbeterde programmeerstijl van de topicopener kan leiden, als je daar problemen mee hebt kan je je wenden tot de klantendienst.

Gesponsorde links

Dit onderwerp is gesloten.

Actiefste leden van de maand

Actieve forumberichten