login  Naam:   Wachtwoord: 
Registreer je!
 Forum

klantenlogin extra beveiliging nodig? (Opgelost)

Offline Appie_Dijk - 19/02/2010 10:03
Avatar van Appie_DijkLid Hallo iedereen,

Via deze site heb ik het volgende beveiliging...
script van deze site

Nu wil ik graag een 'bypass' maken zodat ik de klanten in de e-mail een link kan sturen om in te loggen, dit het ik als volgt gedaan:
bypass.php

Graag zou ik willen weten of dit veilig is?
Of is het verstandig om nog een extra md5 hash er tussen te gooien, en zo ja, hoe moet ik dit doen?

Alvast bedankt.

Mvg Albert

9 antwoorden

Gesponsorde links
Offline Wave6 - 19/02/2010 11:17
Avatar van Wave6 PHP beginner Alleen dat login script is al zo lek als een mandje:)
Offline Appie_Dijk - 19/02/2010 11:26
Avatar van Appie_Dijk Lid vertel, hoe moet ik het dan doen?
Offline TotempaaltJ - 19/02/2010 12:32
Avatar van TotempaaltJ PHP interesse Aiaiai, het begint al bij de query. Je moet nooit iets in een query zetten zonder er iets mee te doen, Google even op beveiliging en vooral op SQL Injection.
Je moet nooit (dus echt nooit) zomaar iets in een query stoppen wat rechtstreekse user-input is. Eigenlijk zowieso niet zomaar iets in een query stoppen. De gebruiker kan nu in "username" een eigen SQL query invullen, met bijv. drop database (ofzo)
Offline Jelmerholland - 19/02/2010 18:42
Avatar van Jelmerholland PHP beginner Vraag ik me ook wel af hoe je het dan zou moeten doen..

mysql_special_chars()? (zoiets was het toch?)
of niet?
Offline TotempaaltJ - 19/02/2010 19:14
Avatar van TotempaaltJ PHP interesse Wat ik dus al zei; google! Zo vind je hartstikke handige stukjes!
Bedankt door: Appie_Dijk
Offline Appie_Dijk - 20/02/2010 23:33 (laatste wijziging 20/02/2010 23:34)
Avatar van Appie_Dijk Lid Dus als ik de volgende aanpassing(en) doorvoer is het script wel goed?

php code - Bekijk de code zonder highlighting - Klap code in 
  1. $naam  = $_POST['naam'];



vervangen voor:
php code - Bekijk de code zonder highlighting - Klap code in 
  1. $naam = mysql_real_escape_string( $_POST[‘naam’] );


enz.?
Offline Koen - 20/02/2010 23:47
Avatar van Koen PHP expert
Appie_Dijk schreef:
Dus als ik de volgende aanpassing(en) doorvoer is het script wel goed?

[..code..]


vervangen voor:
[..code..]

enz.?

Inderdaad, zorg wel dat je de juiste quotes gebruikt, "‘" gaat de PHP parser niet eten. 
php code - Bekijk de code zonder highlighting - Klap code in 
  1. $naam = mysql_real_escape_string($_POST['naam']);
Offline Wave6 - 21/02/2010 10:28
Avatar van Wave6 PHP beginner Hallo Appie-dijk.

Zo te zien hebben de andere al een groot deel van mijn antwoord verklaard.

Vervolgens controlleer je sessies niet op inhoudt.
Je vraagt eigenlijk alleen maar of deze($_SESSION['suser']) bestaat.

En sessie is gewoon te faken! Er zijn verschillende manieren om deze te faken. Het hoeft niet vaak te gebeuren! Maar 1x is voldoende om misschien wel hele gekke dingen uit te halen op je site!
Offline Koen - 21/02/2010 11:08
Avatar van Koen PHP expert
D_O schreef:
Hallo Appie-dijk.

Zo te zien hebben de andere al een groot deel van mijn antwoord verklaard.

Vervolgens controlleer je sessies niet op inhoudt.
Je vraagt eigenlijk alleen maar of deze($_SESSION['suser']) bestaat.

En sessie is gewoon te faken! Er zijn verschillende manieren om deze te faken. Het hoeft niet vaak te gebeuren! Maar 1x is voldoende om misschien wel hele gekke dingen uit te halen op je site!

Sessies faken? Volgens mij heb je sessies even verward met cookies, want voor zover ik weet worden sessies nog steeds opgeslagen op de server, daarna worden ze gekoppeld aan de gebruiker door middel van een session id dat opgeslagen is in een cookie op de computer van gebruiker. Het enige dat met sessies kan gebeuren is dat iemand de cookie met het session ID steelt en zo de sessies van die gebruiker overneemt.
Gesponsorde links
Dit onderwerp is gesloten.
Actieve forumberichten
© 2002-2024 Sitemasters.be - Regels - Laadtijd: 0.228s