php - 100% sikkert login - Udvikleren.dk - Programmering, webdesign og grafik

Tags: php

<< < 1 2 > >>

Bruger #10584 @ 07.02.08 19:13

Hej udviklere

Jeg har arbejdet lidt på at lave et 100% sikkert login system, men ville hører om der var nogle som havde lidt idéer (gerne lidt kode).

Login systemet skal indeholde:
SQL database
Krytering af input
Beskyttelse mod SQL injection
En sikker brug af sessions
Skal helst virke med register_globals = on og off
Og andet jeg ikke lige har tænkt på... :roll:

Når vi står tilbage med et fantastisk login system

, så regner jeg med at få lavet en artikel omkring det, så alle kan få et sikkert login system.

20 svar postet i denne tråd vises herunder
8 indlæg har modtaget i alt 9 karma

Sorter efter stemmer Sorter efter dato

Bruger #10584 @ 07.02.08 19:55

Per Sikker Hansen:
Der skal der selvfølgelig være bogstaver, tal, (evt) tegn og en minimum længde for at undgå at kodeordet bliver gættet.

Gnu:
Ved godt at salt strings er unikke strenge til at lave en unik kryptering, men har aldrig brugt det i praksis, så vil gerne se lidt kode.

JanC:
Hvad mener du med 'https' er det det med at placere sin database under root-folderen? Vil gerne se lidt kode og forklaring.
Der skal selvfølgelig bruges mysql_real_escape_string for at undgå SQL injections.

Bruger #10584 @ 07.02.08 21:00

Go' kryptering Jonas, den er godtaget til det endelige login system (hvis der da ikk kommer en bedre idé)

Update: Efter min mening er Ronni's idé bedre og denne vil nok blive brugt istedet.

Indlæg senest redigeret d. 07.02.2008 21:06 af Bruger #10584

Bruger #6788 @ 07.02.08 21:04

118

Kryptering af input: Hvad mener du præcis med det? Hvis du vil gøre det umuligt for andre at "sniffe" brugernavn/adgangskode når der trykkes login skal du have fat i noget https (google it!).

Bruger #10584 @ 07.02.08 21:09

Ronni Egeriis:
Er sessions ikke mere sikkert end at bruge cookies(kan ellers godt lide cookies

)?

JanC:
Kunne ikke finde noget brugbart på google..

Bruger #10584 @ 07.02.08 23:20

Forstår godt ca hvad shttp er, men kan ikke finde nogle guider om hvordan man bruger det i praksis...

Bruger #12914 @ 08.02.08 00:13

MD5 hashe er blevet brudt flere gange. Jeg foreslår at du bruger sha2 hashing i stedet for da denne er mere sikker.

Bruger #10584 @ 08.02.08 08:06

Emil:
Nu står der jo i koden at der bliver brugt sha1, men er sha2 hash bedre.

Gnu:
shttp er altså et program man installere på serveren?

Jacob Veile:
Det er selvfølgelig ikke muligt at undgå at passwords bliver gættet, men man kan forbygge det. Når jeg skriver 100% sikkert mener jeg at det ikke skal være mulig at logge ind eller få oplysninger uden det rigtige brugernavn og password.
Havde egentlig også tænkt mig at det kun skulle være muligt at bruge tal og bogstaver til alt input.

Bruger #10584 @ 08.02.08 12:33

minder https ikke meget om shttp, hvad er forskellen?

Bruger #11328 @ 08.02.08 14:45

1.323

Please Wiki har svarene... (og det har google også...

)

Bruger #14541 @ 21.01.09 18:10

Som Per siger: Både tal, bogstaver og tegn i adgangskoden.

Kryptering af input: Hvad mener du præcis med det? Hvis du vil gøre det umuligt for andre at "sniffe" brugernavn/adgangskode når der trykkes login skal du have fat i noget https (google it!).

SQL Injections:
Kig på funktionen mysql_real_escape_string

<< < 1 2 > >>

100% sikkert login

Karma barometer (30 dage)

Modtaget

Givet

Favorit hos
Forum tråde
Artikler