[php][auth]goed loginscript
 

hoe maak je een goed loginscript met php/cookies/mysql

ik heb bed8 dat je usr:md5(pwd) in een cookie zet, maar dat is toch niet zo erg veilig...

waarom zou dat niet veilig zijn?

en verder:
www.phpfreakz.com bij de artikelen :)

Wat ik doe:

- gebruik PHP Sessions
bij elk php document laadt hij automatisch init.php waar al mn stuff in staat qua functions, en ook php session support: session_start();

- $_SESSION['sid'] aanmaken, een interne session ID, die de client dus zelf niet weet! deze SID log je in je database als de user inlogt. Bij elke hit check je of de SID in $_SESSION met die van de database overeenkomt

- Password checken doe je met MD5 ja. Password in database staat in MD5.. en je controlleert dan dmv:

if ($user['password'] != md5($_POST['password']))
error('Sorry, wrong password for user '.$user['username'].'. <a href="/login.php">Try again</a>');

- Cookies moet je PHP laten doen, en al helemaal niet password in cookie zetten. Ja oke dan moet je wel elke keer inloggen. Maar beter zou zijn dan de interne SID in de cookie zetten, en de SID dan serverside locken aan een bepaald IP.

:)

telefoonlijn? :)

ik heb op phpfreakz dit gelezen:

http://www.phpfreakz.nl/artikelen.php?aid=43

zoiets ga ik denk ik doen, want sessions zijn sessions, en dat is meestal niet wat je wilt bij een forum... (maar nu heb je weer het probleem dat je de cookie gewoon kan kopieren.. is dat erg?)

hoe lang zou een cookie goed moeten blijven? 1 jaar, en bij elke page verversen ofzo?

Telefoonlijn? Waar heb jij het over?

En als je een cookie met interne SID steelt, zou je dezelfde sessie moeten kunnen krijgen ja (als die persoon vergeten is uit te loggen). Session hijacking heet dit.

Maar als je een IP-check implementeerd (SID zit vast aan bepaald IP) dan niet meer. Als je een SID met ander IP tegenkomt, kill je de session.

Telefoonlijn? :)

ik bedoel dat je als telefoner geen vast IP hebt

Oh zo, modemer bedoel jij, 56K verbiding. Hetzelfde geldt voor kabel modems, zoals Wanadoo/kaashema.

Ja dat klopt. Maar dan maar om de zoveel tijd opnieuw inloggen. :)

Zijn consessies die je moet doen als je het veilig wilt hebben. Je zou ook de mogelijkheid tussen een IP-lock en geen IP lock kunnen bieden. Zeker als het geen ramp is als iemand de sessie kaapt maakt dat niet zoveel uit.

in principe wel ja :p, maar dat is bij mij in geen jaren veranderd

ik heb laatst een redelijk eenvoudig, maar toch wel veilig login script gemaakt:

http://www.webdeveloping.nl/forum/sh...=&postid=15155

En elke keer dat een php script wordt aangeroepen, wordt functie login() gebruikt?

Ik mis een hoop dingen erin, en ook vind ik http authenticatie niet zo mooi. Doe het liever zelf in een login.php, waarbij de layout van de site staat en er een forgot password etc. ding bij staat. Ook kun je opties als IP-locking aanbieden.

nee, ik check gewoon of de sessions bestaan en een geldige waarde hebben.. zoniet dan krijg je weer je login schermpje...

dat hangt af waarvoor je um gebruikt.. normaal werk ik ook gewoon met "uitgebreide" login scripts (zoals bijvoorbeeld phpsecurepages of zelf gemaakte scripts... hangt totaal van het type applicatie af.