Thread: login / register probleem
-
22-10-2011, 19:38 #1
login / register probleem
Ik ben dus iets eenvoudigs met php aan het proberen. namelijk een login en register formpje. register werkt. login echter niet.
wanneer ik geen passwoord of geen gebruikersnaam invul dan gaat hij naar de
en ook de soooooo False en dergelijke wordt dan getoond.PHP Code:echo "Fout wachtwoord en/of gebruikersnaam";
als ik ze alletwee invul (maakt niet uit of het juist of verkeerd is) dan toont hij gewoon de form opnieuw zonder enige echo's of dergelijke...
ziehier code:
config.php:PHP Code:<?php ob_start();
//Hoe lang de bezoeker mag ingelogged blijven:
$expiredate = time()+60*60*24*7; //ingesteld op 1 week
$passgecodeerd ="";
$username ="";
if ($logout == 1)
{ setcookie("username");
setcookie("passgecodeerd");
header("location:index.php");
exit;
}
if ($_POST["username"] && $_POST["password"])
{ //password coderen
$passgecodeerd = md5($_POST["password"]);
$username = $_POST["username"];
//variabelen in een cookie zetten
setcookie("username",$username,$expiredate);
setcookie("passgecodeerd",$passgecodeerd,$expiredate);
header("location:$_SERVER[REQUEST_URI]");
exit;
}
if(isset($_POST["login"]))
{
$controle == FALSE;
$jeid = "";
include ("loginparts/login.php");
$passgecodeerd = md5($_POST["password"]);
$username = $_POST["username"];
$controle = password($username, $passgecodeerd);
echo $username;
echo "</br>";
echo $passgecodeerd;
echo"</br> </br>";
if ($controle == TRUE)
{ $query = "SELECT * FROM club where clubID='$jeid'";
$resultaat = mysql_query($query) or die (mysql_error());
while ($obj = mysql_fetch_object($resultaat))
{ $nickname ="$obj->clubNaam";
$jeid="$obj->clubID";
}
echo "Je bent succesvol ingelogd";
include ('loginparts/config.php');
}else{
echo "Fout wachtwoord en/of gebruikersnaam";
}
}
if ($controle != TRUE)
{ ?><form method="post" action="">
<table width="100%" border="0" cellspacing="0" cellpadding="0">
<tr><td>Clubnaam:</td></tr>
<tr><td><input type="text" name="username"></td></tr>
<tr><td>Password:</td></tr>
<tr><td><input type="password" name="password"></td></tr>
<tr><td><input type="submit" value="login" name="login"></td></tr>
</table>
</form>
<?php
} elseif ($controle == TRUE) {
echo "Welkom $jenickname";
}?>
login.php:PHP Code:<?php
//MySQL gegevens
//Met dit bestand kan je de bezoeker zijn gegevens laten zien
mysql_connect ("localhost","root","");
mysql_select_db("scorepion");
$Query = "SELECT * FROM club WHERE clubID = '$jeid'";
$Resultaat = mysql_query($Query) or die(mysql_error());
if ($Rij = mysql_fetch_object($Resultaat))
{ $clubNaam ="$Rij->clubNaam";
$clubEmail ="$Rij->clubEmail";
}
?>
PHP Code:<?php
include ("config.php");
function password($username, $passgecodeerd)
{ global $jeid;
$jeid ="";
$sql = "SELECT clubPassword FROM club WHERE clubNaam = '$username'";
$resultaat = mysql_query($sql) or die(mysql_error());
while ($obj = mysql_fetch_object($resultaat))
{ $password ="$obj->clubPassword";
$jeid="$obj->clubID";
}
if($passgecodeerd == $password)
{
echo " sooooo true";
//return $jeid;
return TRUE;
} else {
echo $password;
echo "</br>";
echo $passgecodeerd;
echo "</br>";
echo "</br>";
echo "soooooo false :( <br/> <br/>";
$jeid="";
return FALSE;
}
}
?>no votes
-
-
23-10-2011, 18:14 #2toch vrij logisch? ge redirect hier naar uw login form..Code:
f ($_POST["username"] && $_POST["password"]) { //password coderen $passgecodeerd = md5($_POST["password"]); $username = $_POST["username"]; //variabelen in een cookie zetten setcookie("username",$username,$expiredate); setcookie("passgecodeerd",$passgecodeerd,$expiredate); header("location:$_SERVER[REQUEST_URI]"); exit; }
ps: gebruik sha1 i.p.v. md5 met een SALT ( en/of PEPPER)
Ik doen er zelfs soms na 3 tekens nog wat MUSKAATNOOT bij
Maar dat is verregaand en eigelijk overbodig.. Kvond het gewoon tof omdat er is bij te steken.
no votes
-
23-10-2011, 19:08 #3Approved 9liver
- Registered
- 10/12/06
- Location
- Antwerpen
- Posts
- 3,721
- iTrader
- 4 (100%)
- Mentioned
- 0 Post(s)
ps: gebruik sha2 i.p.v. sha1 met een SALT.ps: gebruik sha1 i.p.v. md5 met een SALT ( en/of PEPPER)
Wachtwoorden in een cookie steken is trouwens not-done
...no votes
-
23-10-2011, 21:49 #4Member
- Registered
- 27/06/11
- Location
- Antwerpen
- Posts
- 580
- iTrader
- 3 (100%)
- Mentioned
- 0 Post(s)
- Reputation
- 5/26
ps: voor een simpel login systeempje is MD5 méér dan voldoende veilig.
no votes
-
24-10-2011, 22:24 #5no votes
-
24-10-2011, 22:54 #6Member
- Registered
- 27/06/11
- Location
- Antwerpen
- Posts
- 580
- iTrader
- 3 (100%)
- Mentioned
- 0 Post(s)
- Reputation
- 5/26
no votes
-
24-10-2011, 23:41 #7
veilig = fairly uncrackable ..
lees dit maar eens na :
cryptography - Is SHA-1 secure for password storage? - Stack Overflow
als ge uw md5 parameter eerst suffixed en/of prefixed is het inderdaad nog redelijk veilig .. Maar enkel MD5 niet . ( punt
)
http://md5crack.com/ ( zegt ook genoeg denk ik? )
edit : haha blijkbaar marcheert da van geen hol
nen betere : http://www.cmd5.org/
grappig dat die echt aanrekenen voor die dienst. ( admin kunde bvb gratis wel terug krijgen .. )Last edited by adrianhates; 24-10-2011 at 23:51.
no votes
-
24-10-2011, 23:52 #8Member
- Registered
- 27/06/11
- Location
- Antwerpen
- Posts
- 580
- iTrader
- 3 (100%)
- Mentioned
- 0 Post(s)
- Reputation
- 5/26
Schneier on Security: SHA-1 Broken uit 2005
Schneier on Security: Cryptanalysis of SHA-1 ook uit 2005
German Hacks National Security Agency's SHA1# | ITProPortal.com
$2, 49 minuten werk (hoewel ik aan dit verhaal wel twijfel)
Heb ook weet van een programma dat MD4/MD5/SHA-1 kan bruteforcen door gebruik te maken van uw videokaart in de PC (hoe meer hoe beter natuurlijk). Programma uit 2009, ik weet wel niet of het werkt (dus ook twijfel aan dit verhaal).
als het dan toch zo veilig moet zijn, moet ge ook geen SHA-1 aanraden, maar SHA-512 + SALT.no votes
-
24-10-2011, 23:54 #9
ge gaat hier wederom uit van pure encrypts .. Zodra ge suffixed en/of prefixed , is er niks aan de hand

Ge bent uw eigen hier ook aant tegenspreken merk ik nu toevallig op.. Eerst zegt dat MD5 veilig is en nu komt ge af dat sha1 niet meer veilig is?
ff terug ontopic:
Is uw redirect probleem opgelost?
extra:
MD5 gebruiken zonder SALT of PEPPER is gewoon uit den boze.
Als ge MD5 gebruikt met is het al veel beter..
sha1 is de opstap omdat allemaal beter te doen. Wilt ge de perfectie benaderen, gebruik dan den 256 of 512.Last edited by adrianhates; 24-10-2011 at 23:59.
no votes
-
25-10-2011, 01:04 #10Member
- Registered
- 27/06/11
- Location
- Antwerpen
- Posts
- 580
- iTrader
- 3 (100%)
- Mentioned
- 0 Post(s)
- Reputation
- 5/26
zowel bij MD5 als bij SHA-1 moet er ge suffixed en/of prefixed worden.
Wacht... ik zeg eerst "MD5 is veilig" (nee, ik zeg: "voor een simpel loginsysteempje is MD5 meer dan voldoende veilig")... en dan spreek ik mezelf tegen door te zeggen dat SHA-1 niet meer veilig is? Ik spreek in mijn eerste post nergens over SHA-1 (dus tegenspreken kan al niet), én ik zeg in mijn volgende post nergens dat SHA-1 onveilig is. Ik geef alleen enkele links naar artikels waarin staat dat het mogelijk te bruteforcen is... en weet ge wat? kans is groot dat er binnen x aantal jaar ook een manier is om zelfs SHA-512 te bruteforcen!
(als de amerikanen het nu al niet kunnnen - of de chinezen - met hun supercomputers). Het is niet omdat het te bruteforcen is, dat het onveilig is. Een simpel loginsysteempje kan perfect draaien op MD5 (met SALT), zoals het dat ook kan met SHA-1.
Lees mijn posts eens opnieuw, en geef dan fatsoenlijke commentaar hierop. Dit is puur (weer) een flamewar uitlokken.
Staat in mijn vorige post ook al, maar daar zult ge wel overgelezen hebben
(of het van gekopieerd hebben)
no votes
-
25-10-2011, 01:30 #11
wilt ge please is stoppen met u zo geviseerd en aangevallen te voelen.. Ik maakte enkel een summary van wat er blijkbaar gezegd moet worden..
Leer zelf misschien een beetje tussen de lijnen door te lezen en niet al mijn commentaar zo letterlijk te nemen?
Zeg dat er meteen bij en het was allemaal zo ver niet gekomen. Al die artikels dat ge post gaan noooooit van enig suffix of prefix uit. In de comments duikt het dan weer wel vaak genoeg opHet is niet omdat het te bruteforcen is, dat het onveilig is. Een simpel loginsysteempje kan perfect draaien op MD5 (met SALT), zoals het dat ook kan met SHA-1.
Daar ga ik gewoon mee akkoord en probeer dat ook redelijk veel duidelijk te maken denk ik? Zelfs vóór het 'geflame' dat ge nu zelf aant voeieren bentno votes

