1. #1
    QuietKillah's Avatar
    Registered
    10/08/06
    Posts
    400
    iTrader
    4 (100%)
    Mentioned
    0 Post(s)

    login / register probleem

    Ik ben dus iets eenvoudigs met php aan het proberen. namelijk een login en register formpje. register werkt. login echter niet.
    wanneer ik geen passwoord of geen gebruikersnaam invul dan gaat hij naar de
    PHP Code:
    echo "Fout wachtwoord en/of gebruikersnaam"
    en ook de soooooo False en dergelijke wordt dan getoond.

    als ik ze alletwee invul (maakt niet uit of het juist of verkeerd is) dan toont hij gewoon de form opnieuw zonder enige echo's of dergelijke...

    ziehier code:
    PHP Code:
    <?php ob_start();  
    //Hoe lang de bezoeker mag ingelogged blijven:

    $expiredate time()+60*60*24*7//ingesteld op 1 week
    $passgecodeerd ="";
    $username ="";

    if (
    $logout == 1)  
    {   
    setcookie("username");
        
    setcookie("passgecodeerd");
        
    header("location:index.php");  
        exit;
    }
    if (
    $_POST["username"] && $_POST["password"])  
    {    
    //password coderen
        
        
    $passgecodeerd md5($_POST["password"]);
        
    $username $_POST["username"];
        
         
    //variabelen in een cookie zetten
        
    setcookie("username",$username,$expiredate);
        
    setcookie("passgecodeerd",$passgecodeerd,$expiredate);
        
    header("location:$_SERVER[REQUEST_URI]");  
        exit;
    }
      if(isset(
    $_POST["login"]))
      {
      
      
    $controle == FALSE
      
    $jeid "";
      include (
    "loginparts/login.php");
      
    $passgecodeerd md5($_POST["password"]);
      
    $username $_POST["username"];
      
    $controle password($username$passgecodeerd);  
      echo 
    $username;
      echo 
    "</br>";
      echo 
    $passgecodeerd;
      echo
    "</br> </br>";
      if (
    $controle == TRUE)  
      { 
    $query "SELECT * FROM club where clubID='$jeid'";  
        
    $resultaat mysql_query($query) or die (mysql_error());  
        while (
    $obj mysql_fetch_object($resultaat))  
        { 
    $nickname ="$obj->clubNaam";  
          
    $jeid="$obj->clubID";  
        }
        echo 
    "Je bent succesvol ingelogd";
          include (
    'loginparts/config.php');
      }else{
          echo 
    "Fout wachtwoord en/of gebruikersnaam";
      }
      }
        if (
    $controle != TRUE)
        { 
    ?><form method="post" action="">
              <table width="100%" border="0" cellspacing="0" cellpadding="0">
                <tr><td>Clubnaam:</td></tr>
                <tr><td><input type="text" name="username"></td></tr>
                <tr><td>Password:</td></tr>
                <tr><td><input type="password" name="password"></td></tr>
                <tr><td><input type="submit" value="login" name="login"></td></tr>
            </table>
          </form>
        <?php
        
    } elseif ($controle == TRUE) {
            echo 
    "Welkom $jenickname";
        }
    ?>
    config.php:
    PHP Code:
    <?php   
    //MySQL gegevens
    //Met dit bestand kan je de bezoeker zijn gegevens laten zien

    mysql_connect ("localhost","root","");   
    mysql_select_db("scorepion");   

     
    $Query "SELECT * FROM club WHERE clubID = '$jeid'";   
      
    $Resultaat mysql_query($Query) or die(mysql_error());   
      if (
    $Rij mysql_fetch_object($Resultaat))  
      { 
    $clubNaam ="$Rij->clubNaam";  
        
    $clubEmail ="$Rij->clubEmail";
      }
     
    ?>
    login.php:
    PHP Code:
    <?php   
    include ("config.php");
    function 
    password($username$passgecodeerd)  
    { global 
    $jeid;    
      
    $jeid ="";  
      
    $sql "SELECT clubPassword FROM club WHERE clubNaam = '$username'";   
      
    $resultaat mysql_query($sql) or die(mysql_error());  
      while (
    $obj mysql_fetch_object($resultaat))  
      { 
    $password ="$obj->clubPassword";
      
    $jeid="$obj->clubID";
      }
        if(
    $passgecodeerd == $password)  
        {     
          echo 
    " sooooo true"
          
    //return $jeid;
          
    return TRUE;   
        } else {
        echo 
    $password;
        echo 
    "</br>";
        echo 
    $passgecodeerd;
        echo 
    "</br>";
        echo 
    "</br>";
        echo 
    "soooooo false :( <br/> <br/>";
        
    $jeid="";
          return 
    FALSE;   
        }   
      }  
       
    ?>
    no votes  

  2. #2
    adrianhates's Avatar
    Registered
    23/01/06
    Posts
    2,115
    iTrader
    0
    Mentioned
    0 Post(s)
    Reputation
    23/23
    Code:
    f ($_POST["username"] && $_POST["password"])  
    {    //password coderen
        
        $passgecodeerd = md5($_POST["password"]);
        $username = $_POST["username"];
        
         //variabelen in een cookie zetten
        setcookie("username",$username,$expiredate);
        setcookie("passgecodeerd",$passgecodeerd,$expiredate);
        header("location:$_SERVER[REQUEST_URI]");  
        exit;
    }
    toch vrij logisch? ge redirect hier naar uw login form..

    ps: gebruik sha1 i.p.v. md5 met een SALT ( en/of PEPPER)

    Ik doen er zelfs soms na 3 tekens nog wat MUSKAATNOOT bij Maar dat is verregaand en eigelijk overbodig.. Kvond het gewoon tof omdat er is bij te steken.
    no votes  

  3. #3
    Bv202's Avatar
    Registered
    10/12/06
    Location
    Antwerpen
    Posts
    3,721
    iTrader
    4 (100%)
    Mentioned
    0 Post(s)
    ps: gebruik sha1 i.p.v. md5 met een SALT ( en/of PEPPER)
    ps: gebruik sha2 i.p.v. sha1 met een SALT.

    Wachtwoorden in een cookie steken is trouwens not-done
    ...
    no votes  

  4. #4
    piemel's Avatar
    Registered
    27/06/11
    Location
    Antwerpen
    Posts
    580
    iTrader
    3 (100%)
    Mentioned
    0 Post(s)
    Reputation
    5/26
    ps: voor een simpel login systeempje is MD5 méér dan voldoende veilig.
    no votes  

  5. #5
    adrianhates's Avatar
    Registered
    23/01/06
    Posts
    2,115
    iTrader
    0
    Mentioned
    0 Post(s)
    Reputation
    23/23
    Quote Originally Posted by piemel View Post
    This quote is hidden because you are ignoring this member. Show
    ps: voor een simpel login systeempje is MD5 méér dan voldoende veilig.
    hoe simpel het ook is , als je enkel MD5 gebruikt is het gewoon niet veilig.
    no votes  

  6. #6
    piemel's Avatar
    Registered
    27/06/11
    Location
    Antwerpen
    Posts
    580
    iTrader
    3 (100%)
    Mentioned
    0 Post(s)
    Reputation
    5/26
    Quote Originally Posted by adrianhates View Post
    This quote is hidden because you are ignoring this member. Show
    hoe simpel het ook is , als je enkel MD5 gebruikt is het gewoon niet veilig.
    uw definitie van veilig zal dan anders dan de mijne zijn.
    no votes  

  7. #7
    adrianhates's Avatar
    Registered
    23/01/06
    Posts
    2,115
    iTrader
    0
    Mentioned
    0 Post(s)
    Reputation
    23/23
    veilig = fairly uncrackable ..
    lees dit maar eens na :
    cryptography - Is SHA-1 secure for password storage? - Stack Overflow

    als ge uw md5 parameter eerst suffixed en/of prefixed is het inderdaad nog redelijk veilig .. Maar enkel MD5 niet . ( punt )

    http://md5crack.com/ ( zegt ook genoeg denk ik? )
    edit : haha blijkbaar marcheert da van geen hol

    nen betere : http://www.cmd5.org/
    grappig dat die echt aanrekenen voor die dienst. ( admin kunde bvb gratis wel terug krijgen .. )
    Last edited by adrianhates; 24-10-2011 at 23:51.
    no votes  

  8. #8
    piemel's Avatar
    Registered
    27/06/11
    Location
    Antwerpen
    Posts
    580
    iTrader
    3 (100%)
    Mentioned
    0 Post(s)
    Reputation
    5/26
    Schneier on Security: SHA-1 Broken uit 2005
    Schneier on Security: Cryptanalysis of SHA-1 ook uit 2005
    German Hacks National Security Agency&#39;s SHA1# | ITProPortal.com
    $2, 49 minuten werk (hoewel ik aan dit verhaal wel twijfel)
    Heb ook weet van een programma dat MD4/MD5/SHA-1 kan bruteforcen door gebruik te maken van uw videokaart in de PC (hoe meer hoe beter natuurlijk). Programma uit 2009, ik weet wel niet of het werkt (dus ook twijfel aan dit verhaal).

    als het dan toch zo veilig moet zijn, moet ge ook geen SHA-1 aanraden, maar SHA-512 + SALT.
    no votes  

  9. #9
    adrianhates's Avatar
    Registered
    23/01/06
    Posts
    2,115
    iTrader
    0
    Mentioned
    0 Post(s)
    Reputation
    23/23
    ge gaat hier wederom uit van pure encrypts .. Zodra ge suffixed en/of prefixed , is er niks aan de hand

    Ge bent uw eigen hier ook aant tegenspreken merk ik nu toevallig op.. Eerst zegt dat MD5 veilig is en nu komt ge af dat sha1 niet meer veilig is?

    ff terug ontopic:

    Is uw redirect probleem opgelost?

    extra:
    MD5 gebruiken zonder SALT of PEPPER is gewoon uit den boze.
    Als ge MD5 gebruikt met is het al veel beter..

    sha1 is de opstap omdat allemaal beter te doen. Wilt ge de perfectie benaderen, gebruik dan den 256 of 512.
    Last edited by adrianhates; 24-10-2011 at 23:59.
    no votes  

  10. #10
    piemel's Avatar
    Registered
    27/06/11
    Location
    Antwerpen
    Posts
    580
    iTrader
    3 (100%)
    Mentioned
    0 Post(s)
    Reputation
    5/26
    Quote Originally Posted by adrianhates View Post
    This quote is hidden because you are ignoring this member. Show
    ge gaat hier wederom uit van pure encrypts .. Zodra ge suffixed en/of prefixed , is er niks aan de hand
    zowel bij MD5 als bij SHA-1 moet er ge suffixed en/of prefixed worden.

    Quote Originally Posted by adrianhates View Post
    This quote is hidden because you are ignoring this member. Show
    Ge bent uw eigen hier ook aant tegenspreken merk ik nu toevallig op.. Eerst zegt dat MD5 veilig is en nu komt ge af dat sha1 niet meer veilig is?
    Wacht... ik zeg eerst "MD5 is veilig" (nee, ik zeg: "voor een simpel loginsysteempje is MD5 meer dan voldoende veilig")... en dan spreek ik mezelf tegen door te zeggen dat SHA-1 niet meer veilig is? Ik spreek in mijn eerste post nergens over SHA-1 (dus tegenspreken kan al niet), én ik zeg in mijn volgende post nergens dat SHA-1 onveilig is. Ik geef alleen enkele links naar artikels waarin staat dat het mogelijk te bruteforcen is... en weet ge wat? kans is groot dat er binnen x aantal jaar ook een manier is om zelfs SHA-512 te bruteforcen! (als de amerikanen het nu al niet kunnnen - of de chinezen - met hun supercomputers). Het is niet omdat het te bruteforcen is, dat het onveilig is. Een simpel loginsysteempje kan perfect draaien op MD5 (met SALT), zoals het dat ook kan met SHA-1.





    Lees mijn posts eens opnieuw, en geef dan fatsoenlijke commentaar hierop. Dit is puur (weer) een flamewar uitlokken.


    Quote Originally Posted by adrianhates View Post
    This quote is hidden because you are ignoring this member. Show
    Wilt ge de perfectie benaderen, gebruik dan den 256 of 512.
    Staat in mijn vorige post ook al, maar daar zult ge wel overgelezen hebben (of het van gekopieerd hebben)
    no votes  

  11. #11
    adrianhates's Avatar
    Registered
    23/01/06
    Posts
    2,115
    iTrader
    0
    Mentioned
    0 Post(s)
    Reputation
    23/23
    Quote Originally Posted by piemel View Post
    This quote is hidden because you are ignoring this member. Show
    ..
    wilt ge please is stoppen met u zo geviseerd en aangevallen te voelen.. Ik maakte enkel een summary van wat er blijkbaar gezegd moet worden..

    Leer zelf misschien een beetje tussen de lijnen door te lezen en niet al mijn commentaar zo letterlijk te nemen?

    Het is niet omdat het te bruteforcen is, dat het onveilig is. Een simpel loginsysteempje kan perfect draaien op MD5 (met SALT), zoals het dat ook kan met SHA-1.
    Zeg dat er meteen bij en het was allemaal zo ver niet gekomen. Al die artikels dat ge post gaan noooooit van enig suffix of prefix uit. In de comments duikt het dan weer wel vaak genoeg op

    Daar ga ik gewoon mee akkoord en probeer dat ook redelijk veel duidelijk te maken denk ik? Zelfs vóór het 'geflame' dat ge nu zelf aant voeieren bent
    no votes  

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •  

Log in

Log in