Ik heb een site gemaakt en ik wil maar 1 deel (een paar html pagina's) beveiligen.
Zo wil ik het hebben:
In het menu klik je dus op 1 van die pagina's en dan krijg je een pagina waarbij je moet inloggen. Als je bent ingelogd keer je vervolgens "terug" naar de pagina die je te zien hoort te krijgen (dus de echte pagina die je wilde zien toen je in het menu op die pagina klikte).
Op dit moment kun je alle pagina's bekijken (dus niet steeds weer inloggen voor de verschillende beveiligde pagina's).
Loguit functie hoeft er ook niet perse op te zitten.
En het hoeft maar voor 1 gebruiker te zijn. Dus en een registratie/wachtwoord vergeten en dergelijke functies hoeven er dus niet op te zitten.
Niet met databases aub! En natuurlijk in PHP
Dus 2 php bestandjes 1 om in te loggen en 1 om de gegevens te checken (en een 3e als er een uitlogfunctie bijzit).
In de html bestandjes een "include" optie ofzo dat je eerst moet inloggen voordat je de pagina kan zien.
En nee ik ben niet lui, maar mijn PHP kennis is niet erg groot.
BVD
quote:Vertel eens...heb hier ook weinig ervaring meeOp zondag 8 februari 2009 16:12 schreef qu63 het volgende:
.htacces geen optie?
ipv in de sql zelf.
quote:Hij wil geen database gebruiken, dus dat probleem heb je toch al.Op zondag 8 februari 2009 16:27 schreef cablegunmaster het volgende:
het is makkelijk maar dan staat je wachtwoord en je login in een bestand opgeslagen.
ipv in de sql zelf.
htaccess is een mooie en simpele oplossing!
| 1 2 3 4 5 6 7 8 | if ($_POST['wachtwoord'] == 'geheim') { // succesvol ingelogd } else { echo 'Oh noes... het wachtwoord is niet goed ;-(.'; exit; } ?> |
quote:dat covert het ongeveer wel
| 1 2 3 4 5 6 7 8 9 10 | <head><title>Inloggen</title></head> <body> <form method='post' action="verificatie.php"> <input type='text' name='gebruiker' /><br /> <input type='password' name='wachtwoord' /><br /> <input type='submit' value='Login' /> </form> </body> </html> |
bestand 2 verificeren gecheckt :
als je nog problemen hebt pm.
verificatie.php
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 | session_start(); if ($_POST['wachtwoord'] == 'geheim') { // succesvol ingelogd $_SESSION['auth']=true; $_SESSION['timeout']= time()+ 30; //30minuten voor hij auto uitlogt kan je zelf aanpassen $_SESSION['gebruiker']= $_POST['gebruiker']; header("location:ingelogd.php", true, 303); exit(); }else{ header("location: index.php", true, 303); exit(); } ?> |
bestand 3:
logout.php
| 1 2 3 4 5 6 | session_start(); session_unset(); session_destroy(); header("location: index.html", true , 303); ?> |
elk ander beveiligd bestand X:
boven elk bestand zet je dit neer.
| 1 2 3 4 5 6 7 | session_start(); if(!Isset($_SESSION['gebruiker'])) { die( "Niet ingelogd! <a href=\"index.php\">klik hier</a> om naar de goeie pagina te gaan"); } ?> |
zo kun je dus 2 voorwaarde in zetten :
in index.php kun je bvb
| 1 2 3 4 5 6 7 8 9 10 11 12 13 | session_start(); if(IsSet($_SESSION['gebruiker'])) { echo "Dit is beveiligde ruimte! maar staat op dezelfde pagina echo "welkom".$SESSION['gebruiker']."dat je hier mag neerzetten wat je wil ?>Maar je kan er ook in html in typen <?php } if(!isset($_SESSION['gebruiker'])) { echo "je bent niet ingelogd! maar je ziet dit wel staan"; } ?> |
UPDATE sha1:
wachtwoord voor sha1 (eenmalig of hoe vaak je het wachtwoord ook wijzigt)
vul in mijnwachtwoord wat je ook maar wil.
| 1 2 3 4 5 | $wachtwoord1 = "Mijnwachtwoord" $wachtwoord = Sha1($wachtwoord1); echo $wachtwoord; ?> |
dan krijg je 40 tekens eruit
bestand 2 verificeren met SHA1:
stop de 40 tekens zonder spatie op de plaats geheim met quotes.
verificatie.php
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 | session_start(); $wachtwoord = sha1($_POST['wachtwoord']); if ($wachtwoord == 'geheim') { // succesvol ingelogd $_SESSION['auth']=true; $_SESSION['timeout']= time()+ 30; //30minuten voor hij auto uitlogt kan je zelf aanpassen $_SESSION['gebruiker']= $_POST['gebruiker']; header("location:ingelogd.php", true, 303); exit(); }else{ header("location: index.php", true, 303); exit(); } ?> |
[ Bericht 48% gewijzigd door cablegunmaster op 09-02-2009 17:22:28 ]
quote:En dit moet ik bovenaan iedere html pagina zetten?
quote:nee dit werkt op 1 paginaOp zondag 8 februari 2009 16:45 schreef SunBoom het volgende:
[..]
En dit moet ik bovenaan iedere html pagina zetten?
dus dan heb je een inlog met 1 pagina die beschermt is
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 | session_start(); if($_SERVER['REQUEST_METHOD'] == "POST"){ $user = "GEBRUIKERSNAAM"; $pass = "WACHTWOORD"; if($_POST['pass'] == $pass AND $_POST['user'] == $user){ $_SESSION['user'] = $user; } }else{ echo "<form method='post'> <input type='text' name='user' /><br /> <input type='password' name='pass' /><br /> <input type='submit' value='Login' /> </form>"; } ?> |
Dan zet je boven elke beveiligde pagina:
| 1 |
loguit.php
| 1 |
Die is natuurlijk niet heel veilig, maar werkt wel!
quote:hahahaOp zondag 8 februari 2009 16:45 schreef SunBoom het volgende:
[..]
En dit moet ik bovenaan iedere html pagina zetten?
quote:pm me als je problemen hebtOp zondag 8 februari 2009 16:49 schreef SunBoom het volgende:
Oké, bedankt allemaal ik ga het even uitproberen.
Die van cablegunmaster geeft een parse error in verificatie.php.
En die van sar2007 geeft een error in het stukje dat je op iedere pagina moet plakken (op line 1 dus).
quote:heb de mijne al aangepastOp zondag 8 februari 2009 17:39 schreef SunBoom het volgende:
Beide scripts (van sar2007 en cablegunmaster) doen het niet.
Die van cablegunmaster geeft een parse error in verificatie.php.
En die van sar2007 geeft een error in het stukje dat je op iedere pagina moet plakken (op line 1 dus).
recheck ?
maar wat wil je er eigenlijk opzetten?
Sha1 al je velden al voordat je ze opgestuurd hebt (en dit dus dmv javascript). Misschien overbodig voor wat jij wil doen, maar toch een vereiste voor elke zelfrespecterend script.
quote:zal ik het even toepassenOp zondag 8 februari 2009 20:28 schreef Drenthe het volgende:
Tip:
Sha1 al je velden al voordat je ze opgestuurd hebt (en dit dus dmv javascript). Misschien overbodig voor wat jij wil doen, maar toch een vereiste voor elke zelfrespecterend script.
?quote:Wat is het verschil tussen je wachtwoord naar een site sturen, of de SHA1 hash van je wachtwoord naar een site sturen? Ik zie niet in waarom elk "zelfrespecterend" script dat zou moeten doen en al helemaal niet waarom dat vereist zou zijn?Op zondag 8 februari 2009 20:28 schreef Drenthe het volgende:
Tip:
Sha1 al je velden al voordat je ze opgestuurd hebt (en dit dus dmv javascript). Misschien overbodig voor wat jij wil doen, maar toch een vereiste voor elke zelfrespecterend script.
quote:ik ook nietOp zondag 8 februari 2009 21:04 schreef HuHu het volgende:
[..]
Wat is het verschil tussen je wachtwoord naar een site sturen, of de SHA1 hash van je wachtwoord naar een site sturen? Ik zie niet in waarom elk "zelfrespecterend" script dat zou moeten doen en al helemaal niet waarom dat vereist zou zijn?
maar het blijft grapsig stukje beveiliging dat eigenlijk nergens op slaat ^^quote:Het gaat niet om het versturen over internet, maar als ooit je db eens gehacked zou worden. Dan staan daar in ieder geval geen plain text passwords in.Op zondag 8 februari 2009 21:04 schreef HuHu het volgende:
[..]
Wat is het verschil tussen je wachtwoord naar een site sturen, of de SHA1 hash van je wachtwoord naar een site sturen? Ik zie niet in waarom elk "zelfrespecterend" script dat zou moeten doen en al helemaal niet waarom dat vereist zou zijn?
quote:Server-side hashen is inderdaad wel een vereiste. Maar aangezien Drenthe het heeft over JavaScript voor het opsturen, ga ik er toch echt vanuit dat 'ie client-side hashen bedoeld. Dat heeft geen enkele toegevoegde waarde ten opzicht van server-side hashen en is ook nog eens vrij ongebruikelijk en niet aan te raden.
[..]
Het gaat niet om het versturen over internet, maar als ooit je db eens gehacked zou worden. Dan staan daar in ieder geval geen plain text passwords in.
quote:Als ik clientside ga versturen naar een server, zal ik toch clientside moeten hashen om te matchen met de db. Maar ik ben met je eens dat je beter gewoon kan POSTEN en serverside de boel kan oplossen.Op zondag 8 februari 2009 21:19 schreef HuHu het volgende:
[..]
Server-side hashen is inderdaad wel een vereiste. Maar aangezien Drenthe het heeft over JavaScript voor het opsturen, ga ik er toch echt vanuit dat 'ie client-side hashen bedoeld. Dat heeft geen enkele toegevoegde waarde ten opzicht van server-side hashen en is ook nog eens vrij ongebruikelijk en niet aan te raden.
Bedankt voor alle reacties.
En nog even voor de duidelijkheid:
Ik ben niet opzoek naar een script die met databases werkt. MD5 hashes is allemaal leuk enzo, maar is het moet een simpel scriptje zijn (niet dat MD5 hashes moeilijk zijn, maar het gaat meer om dat er iets op zit, dan niets).
quote:Waarom zou je willen hashen in javascript? Dat draagt weinig bij aan de veiligheid van de site, en je maakt de site ontoegankelijk voor mensen die geen javascript gebruiken (text-only browsers bijvoorbeeld). Als het je te doen is om te voorkomen dat mensen het wachtwoord kunnen afluisteren, dan kun je beter https gebruiken.
Tip:
Sha1 al je velden al voordat je ze opgestuurd hebt (en dit dus dmv javascript). Misschien overbodig voor wat jij wil doen, maar toch een vereiste voor elke zelfrespecterend script.
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 | session_start(); if (!$_SESSION['loggedin']) { if (!isset($_SERVER['PHP_AUTH_USER'])) { header('WWW-Authenticate: Basic realm="Beveiligde pagina"'); header('HTTP/1.0 401 Unauthorized'); exit('Je moet inloggen om dit te zien!'); } else if ($_SERVER['PHP_AUTH_USER'] == 'gebruikersnaam' && $_SERVER['PHP_AUTH_PW'] == 'wachtwoord') { $_SESSION['loggedin']=true; } else exit('Je mag dit niet zien!'); } ?> DIT IS BEVEILIGD! |
[ Bericht 38% gewijzigd door ralfie op 09-02-2009 17:11:04 ]
quote:Ik weet niet precies hoe ze het kunnen doen, maar als een hacker gaat ' sniffen' , kan hij alles zien wat de client via HTTP verstuurd (dus ook ongehaste wachtwoorden en usernames).
[..]
Waarom zou je willen hashen in javascript? Dat draagt weinig bij aan de veiligheid van de site, en je maakt de site ontoegankelijk voor mensen die geen javascript gebruiken (text-only browsers bijvoorbeeld). Als het je te doen is om te voorkomen dat mensen het wachtwoord kunnen afluisteren, dan kun je beter https gebruiken.
quote:nou, en dan ziet hij de gehashte wachtwoorden en usernames, stuurt ie die naar de server, wordt ie ook ingelogd. Net zo makkelijkOp maandag 9 februari 2009 12:49 schreef Drenthe het volgende:
[..]
Ik weet niet precies hoe ze het kunnen doen, maar als een hacker gaat ' sniffen' , kan hij alles zien wat de client via HTTP verstuurd (dus ook ongehaste wachtwoorden en usernames).
quote:Voor een man-in-the-middle aanval maakt hashen of niet hashen geen verschil. Het gaat er om dat je met de data die over de lijn gaat kunt inloggen. Dat kan altijd, of het nu wel of niet gehashed is. Een beveiligde verbinding via HTTPS is dan de enige optie.
[..]
Ik weet niet precies hoe ze het kunnen doen, maar als een hacker gaat ' sniffen' , kan hij alles zien wat de client via HTTP verstuurd (dus ook ongehaste wachtwoorden en usernames).
quote:IsSet()? Nieuwe mode om isset() zo te schrijven?Op zondag 8 februari 2009 16:48 schreef Sar2007 het volgende:
login.php
[ code verwijderd ]
Dan zet je boven elke beveiligde pagina:
[ code verwijderd ]
loguit.php
[ code verwijderd ]
Die is natuurlijk niet heel veilig, maar werkt wel!
quote:Mits je de ?> even iets omhoog zet, tenzij je een PHP error wiltOp zondag 8 februari 2009 22:51 schreef ralfie het volgende:
[ code verwijderd ]
Simpeler dat dit krijg je het niet denk ik.
quote:nee, das die klote phpdinges van fok. Stript alle <? en ?> en plaatst die aan het begin en eind. zal het wel ff in een code tag rossenOp maandag 9 februari 2009 16:04 schreef Roy_T het volgende:
[..]
Mits je de ?> even iets omhoog zet, tenzij je een PHP error wilt
Alles werkt nu naar behoren!
Ik ga het script van ralfie gebruiken omdat die simpelweg het makkelijkst is.