Oprettet lør. d. 21. juli 2012 kl. 17:30:29
50 point uddelt | 8 kommentarer
Guids til at lave et sikkert login-system
Mit login-system er ikke så sikkert, så det vil jeg gerne gøre bedre. eller faktisk lave et helt nyt.Jeg synes mange af de systemer man finder, bliver kritiseret i kommentarfelter. det lykkes mig at finde et system, der for mig ser ok ud, men der er ingen kommentar. det virker dog som lidt voldsomme koder for en som mig, og det vil nok tage mig lang tid at sætte mig ind i det. men jeg vil først lige være sikker på at det er et godt script.
Er det muligt at få en konstruktiv anmeldelse af dette login-system. hvad er godt, hvad er dårligt, hvad er brugbart og hvad er ikke så brugbart:
https://gist.github.com/ (...)
Er der nogen der ellers kan anbefale sider hvor man kan læse om opbygning af sikkert login-system. man må også gerne kunne se eksempler på koderne indskrevet, ikke så man kan copy/past, men bare så man kan lære af måden som koderne skrives på. det kunne være fedt, specielt hvis systemet i overstående link ikke kan anbefales.
Skrevet lør. d. 21. juli 2012 kl. 20:00:01| #1
claes57 (36.606 point)
sql skal omskrives - læs http://www.eksperten.dk/ (...)
Skrevet lør. d. 21. juli 2012 kl. 22:43:02| #2
Klaphattens (1.855 point)
Den del havde jeg regnet med, har også selv været i gang med at øve mig på mysqli. men ville ikke begynde at omskrive det han har lavet, hvis det ikke var et sikkert system.
Ellers nogen kommentar til det?
Ellers nogen kommentar til det?
Skrevet søn. d. 22. juli 2012 kl. 00:07:35| #3
inteeeL (5.831 point)
Systemet ser fornuftigt ud; i stort set alle tilfælde, hvor klienten skal samarbejde med databasen bliver de forskellige inputs valideret fint. Men som claes57 nævner, ville det være fordelagtigt at omskrive sql-delen til prepared statement og dermed opnå endnu højere sikkerhed.
Skrevet søn. d. 22. juli 2012 kl. 00:46:33| #4
Klaphattens (1.855 point)
Tak claes og inteeeL.
det er dejligt at se at man selv har set den ene ting der bliver nævnt. så er jeg da ikke helt lost :o)
Jeg har først prøvet at download hans system for at test det. da jeg kørte det første gang kom følgende fejl:
Notice: Undefined variable: loginattempts_username in C:\xampp\htdocs\login\authenticate.php on line 323
Notice: Undefined variable: loginattempts_total in C:\xampp\htdocs\login\authenticate.php on line 323
Kan i se fejlen. Da det er copy/paste passer det med hans linje.
<?php if (($loginattempts_username > 2) || ($registered == FALSE) || ($loginattempts_total > 2)) { ?>
Jeg vil selv skrive det om så det passer bedre til mig, men jeg vil lige have originalen til at virke først.
det er dejligt at se at man selv har set den ene ting der bliver nævnt. så er jeg da ikke helt lost :o)
Jeg har først prøvet at download hans system for at test det. da jeg kørte det første gang kom følgende fejl:
Notice: Undefined variable: loginattempts_username in C:\xampp\htdocs\login\authenticate.php on line 323
Notice: Undefined variable: loginattempts_total in C:\xampp\htdocs\login\authenticate.php on line 323
Kan i se fejlen. Da det er copy/paste passer det med hans linje.
<?php if (($loginattempts_username > 2) || ($registered == FALSE) || ($loginattempts_total > 2)) { ?>
Jeg vil selv skrive det om så det passer bedre til mig, men jeg vil lige have originalen til at virke først.
Skrevet søn. d. 22. juli 2012 kl. 01:17:56| #5
Det er såmen ikke en fejl, men mere for at gøre dig opmærksom på at der bliver brugt fiktive variabler. Slår du error_reporting fra, vil disse meddelelser forsvinde, men det betyder ikke at du bare kan glemme alt om det. Før du prøver at bruge en variabel, bør du altid tjekke om den eksisterer først.
Derudover har jeg kun skimtet koden og den ser umiddelbart fin ud. Som du allerede ved, skal MySQLi eller lign. indføres, men jeg fandt også et andet problem. I authenticate.php omkring linje 287, tror personen bag dette script at han eliminerer session fixation ved at kalde session_regenerate_id(). Det er dog ikke tilfældet, eftersom den gamle data stadigvæk ligger på serveren, og derved giver en evt. hacker mulighed for at bruge det til at få adgang. Der skal kaldes session_regenerate_id(true), for at være sikker på at den gamle data fjernes. :)
Derudover har jeg kun skimtet koden og den ser umiddelbart fin ud. Som du allerede ved, skal MySQLi eller lign. indføres, men jeg fandt også et andet problem. I authenticate.php omkring linje 287, tror personen bag dette script at han eliminerer session fixation ved at kalde session_regenerate_id(). Det er dog ikke tilfældet, eftersom den gamle data stadigvæk ligger på serveren, og derved giver en evt. hacker mulighed for at bruge det til at få adgang. Der skal kaldes session_regenerate_id(true), for at være sikker på at den gamle data fjernes. :)
Skrevet man. d. 27. august 2012 kl. 10:25:40| #6
Klaphattens (1.855 point)
Jeg lukker lige tråden
Clase og DeeDawg --> kan i ikke lige smide et svar.
Ellers lukker jeg den selv om et par dage.
Clase og DeeDawg --> kan i ikke lige smide et svar.
Ellers lukker jeg den selv om et par dage.
Skrevet man. d. 27. august 2012 kl. 10:31:50| #7
Skrevet tir. d. 04. september 2012 kl. 13:28:09| #8
Accepteret svar!50 point tildelt
Log ind
Seneste spørgsmål
Hjælp til database kolonne
Oprettet den 22. maj 2013 kl. 17.44
StotheT giver 30 point for svar | Giv et svar »
opret tabel og insert
Oprettet den 22. maj 2013 kl. 14.10
agent_qa giver 60 point for svar | Giv et svar »
WordPress husker stadig gamle stier, efter skift af URL
Oprettet den 22. maj 2013 kl. 14.08
w13 giver 70 point for svar | Giv et svar »
Seneste guides
Seneste nyheder
Tips & Tricks fra PC World
Her er seks Google Labs-funktioner, som du skal slå til med det samme
Gmail Labs giver dig adgang til en masse smarte funktioner, som Googles ingeniører leger med i øjeblikket.
Anmeldelser fra PC World
Test: Samsung Galaxy S4 er et hit - trods gøglertricks
Kan Samsung beholde førertrøjen i det store Android-race? Galaxy S4 er smækfyldt med innovative funktioner, men også med en del gøgl. Er det for meget? Få vores dom over Samsungs nye topmodel.
Seneste blogindlæg
Tvangslukke spørgsmål: Hvad er den bedste løsning?
Hej Vi har mange åbne spørgsmål på Eksperten. Vi ville gerne tvangslukke dem - så et spørgsmål efter f.eks. 6 måneder lukkes. Men der er et par uklarheder som ville være gode at få lidt input til:...
Nyheder fra PC World
Nu kan du få 1 terabyte gratis plads hos Flickr
Yahoo har relanceret sin fototjeneste Flickr med 1 terabyte gratis plads til brugernes billeder og videoer.
Nyheder fra Computerworld
Galleri: Her er de vigtigste programmører
Computerhistorien har fra hulkort til JavaScript været drevet frem af mange forskellige typer programmører. Se de vigtigste typer her. Er du en af dem?
IT Kurser
Samarbejdspartnere
Udgiver · © 2013 IDG Danmark A/S · Hørkær 18 · 2730 Herlev · Tlf.: 77 300 300 · Fax: 77 300 301 · Brug af personoplysninger