Sikker PHP login

Tags:    php

<< < 123 > >>
Er det sikkert at lave et login system på denne måde??
Fold kodeboks ind/udKode 


Hørte en sige noget om at man skylle enkrypte et eller andet .. Kan dette lade sig gøre at hacke, eller er det sikkert nok ?



24 svar postet i denne tråd vises herunder
6 indlæg har modtaget i alt 6 karma
Sorter efter stemmer Sorter efter dato
www.gamereport.dk i kan se siden her ..

Jeg vil godt have alle råd og ideer til hvordan jeg kan hack sikre den og blocke for alt muligt... f.eks har jeg blokeret for < og > så man ikke kan lave meta redirects .. men der er vel meget mere man kan blocke ??



Fold kodeboks ind/udKode 




Ja og så kan man skrive login.php i adresselinien, og så behøver man ikke at logge ind - virkelig usikkert!

--
Ronni Egeriis - squirrel development: http://sqdev.dk/



Fold kodeboks ind/udKode 




Ja og så kan man skrive login.php i adresselinien, og så behøver man ikke at logge ind - virkelig usikkert!

--
Ronni Egeriis - squirrel development: http://sqdev.dk/


hmmm.. fattede jeg ikke :S
Hilsen Chadi
Mit lykketal er 2959



Ja og så kan man skrive login.php i adresselinien, og så behøver man ikke at logge ind - virkelig usikkert!


???



Ikke sådan noge tjeg tænker på ..

i forummet kunne nogen jeg f.eks lave et

<?php
exit;
?>

hvilket ikke ville være så fedt :P

men nu har jeg gjordt sådan at > og < bliver erstattet med < og &rt; eller hvad de hedder :P ..



Ikke sådan noge tjeg tænker på ..

i forummet kunne nogen jeg f.eks lave et

<?php
exit;
?>

hvilket ikke ville være så fedt :P

men nu har jeg gjordt sådan at > og < bliver erstattet med < og &rt; eller hvad de hedder :P ..

nej for ved at lave < og > kan man _ikke_ lave PHP-kode, kun HTML-kode



Du skal også sørge for at al data (i dit tilfælde brugernavn og password) der sættes ind i en mysql_query skal omfattes af funktionen mysql_escape_string(), http://www.php.net/manual/en/ref.mysql.php, for ikke at risikere at folk kan skrive SELECT * FROM users, slette din tabel el.lign.


/Andreas Møgelmose

----
Don't take life too serious, you'll never escape it alive anyway.


er det også nødvendigt at gøre på querystrings ??



Du skal også sørge for at al data (i dit tilfælde brugernavn og password) der sættes ind i en mysql_query skal omfattes af funktionen mysql_escape_string(), http://www.php.net/manual/en/ref.mysql.php, for ikke at risikere at folk kan skrive SELECT * FROM users, slette din tabel el.lign.


/Andreas Møgelmose

----
Don't take life too serious, you'll never escape it alive anyway.

er det også nødvendigt at gøre på querystrings ??



hvis du ikke bruger magic quotes SKAL du
hvis du bruger magic quotes må du IKKE



Og hvad er så lige magic quotes :)??

kom lige til at tænke på ..

er det når man insætter eller henter fra databasen den skal bruges?

Altså mysql_escape_string()

[Redigeret d. 27/11-03 16:37:52 af Kasper Nielsen]



Magic quotes er at der automatisk sættes \\ foran ' tegn i get post og cookie.

hvis der ikke bruges magic quotes, skal du selv sætte \\ foran, da en bruger ellers har adgang til db'en ved at skrive ' tegnet.

hvis der bruges magic quotes, må du ikke sætte \\ foran da der så kommer 2 \\ foran.

Magic quotes indstilles i php.ini



<< < 123 > >>
t