abonnement Unibet Coolblue Bitvavo
  donderdag 6 oktober 2011 @ 15:37:17 #153
75592 GlowMouse
l'état, c'est moi
pi_102773354
Of sprintf gebruiken.
eee7a201261dfdad9fdfe74277d27e68890cf0a220f41425870f2ca26e0521b0
pi_102773429
quote:
0s.gif Op donderdag 6 oktober 2011 15:25 schreef GlowMouse het volgende:
Echo je query, en let op SQL injection.
Op dit moment krijgt elke variabel een mysql_remove_special_string(), zijn er nog meer die ik er aan zou moeten toevoegen?

quote:
2s.gif Op donderdag 6 oktober 2011 15:33 schreef Luchtkoker het volgende:

[..]

Het is ook niet echt heel fraai om al die variabelen zo in je string quotes te houden, liever:
[ code verwijderd ]

(let op, dat is dus ' " en " ') etc. Ik weet niet of dat nu de boosdoener is, maar alsnog. :+
Ga het even aanpassen en proberen.
  donderdag 6 oktober 2011 @ 15:43:14 #155
75592 GlowMouse
l'état, c'est moi
pi_102773490
quote:
0s.gif Op donderdag 6 oktober 2011 15:40 schreef dirkjo het volgende:

[..]

Op dit moment krijgt elke variabel een mysql_remove_special_string(),
remove_special? het koekje al niet

en ik mis de echo van de query.
eee7a201261dfdad9fdfe74277d27e68890cf0a220f41425870f2ca26e0521b0
pi_102773627
quote:
0s.gif Op donderdag 6 oktober 2011 15:43 schreef GlowMouse het volgende:

[..]

remove_special? het koekje al niet

en ik mis de echo van de query.
Sorry, real_escape_string.. Geen flauw idee hoe ik aan remove special kom :P

Een momentje; even iets anders afmaken ;)
pi_102773806
Probleem gevonden, was echt iets heel doms :@ Vraag me ook niet hoe het gekomen is :P

//Maar als ik je dan toch aan het lastig vallen ben GM;
Heb je nog meer tips wat betreft beveiliging? Heb nu overal (ook de koekjes ondertussen) de real_escape_string staan, maar dat is dan ook het enige

[ Bericht 16% gewijzigd door dirkjo op 06-10-2011 16:00:24 ]
  donderdag 6 oktober 2011 @ 15:58:02 #158
75592 GlowMouse
l'état, c'est moi
pi_102773948
Een error, dat is dan duidelijk.
eee7a201261dfdad9fdfe74277d27e68890cf0a220f41425870f2ca26e0521b0
  donderdag 6 oktober 2011 @ 16:06:09 #159
75592 GlowMouse
l'état, c'est moi
pi_102774215
http://www.php.net/manual/en/ heeft een heel hoofdstuk over beveiliging.
eee7a201261dfdad9fdfe74277d27e68890cf0a220f41425870f2ca26e0521b0
pi_102775863
quote:
0s.gif Op donderdag 6 oktober 2011 16:06 schreef GlowMouse het volgende:
http://www.php.net/manual/en/ heeft een heel hoofdstuk over beveiliging.
Dan ga ik die even lezen :)
  zondag 9 oktober 2011 @ 23:40:47 #161
137776 boem-dikkie
Jedi Mind Baby!
pi_102901024
Oké. Nog even over mijn vorige vraag.

Ik heb het voor elkaar gekregen om met ftp_nlist op mijn eigen server de bestandsnamen van een andere FTP server op te halen.. Ik moet deze foto's nu laten zien. Nou zou je zeggen dat dat wel wil met gewoon <img> maar niet dus. Als ik ze link naar http://zijnserver.com/foto/bla.png werkt het niet, zodra ik er FTP voor zet werkt het wel. Het pad is dus juist, alleen er gebeurd iets waardoor ik op die andere site via dat pad de foto's niet kan vinden.

Die andere website is een NAS waar via dynDNS een naam wordt gegeven aan het IPadres.

Iemand (die mijn warrige verhaal snapt) een idee hoe ik dit kan oplossen?
Ik weet niks van Hindoes. Wel van Samoerai en andere dingen.
pi_102901460
quote:
15s.gif Op zondag 9 oktober 2011 23:40 schreef boem-dikkie het volgende:
Oké. Nog even over mijn vorige vraag.

Ik heb het voor elkaar gekregen om met ftp_nlist op mijn eigen server de bestandsnamen van een andere FTP server op te halen.. Ik moet deze foto's nu laten zien. Nou zou je zeggen dat dat wel wil met gewoon <img> maar niet dus. Als ik ze link naar http://zijnserver.com/foto/bla.png werkt het niet, zodra ik er FTP voor zet werkt het wel. Het pad is dus juist, alleen er gebeurd iets waardoor ik op die andere site via dat pad de foto's niet kan vinden.

Die andere website is een NAS waar via dynDNS een naam wordt gegeven aan het IPadres.

Iemand (die mijn warrige verhaal snapt) een idee hoe ik dit kan oplossen?
Als het werkt wanneer je er ftp voorzet, wat is dan je probleem?
  zondag 9 oktober 2011 @ 23:56:54 #163
137776 boem-dikkie
Jedi Mind Baby!
pi_102901558
quote:
0s.gif Op zondag 9 oktober 2011 23:53 schreef Thomass het volgende:

[..]

Als het werkt wanneer je er ftp voorzet, wat is dan je probleem?
Het probleem is dat als mensen dan naar die pagina gaan ze moeten inloggen. :')

Ik wil dat ze gewoon de foto's kunnen zien.
Ik weet niks van Hindoes. Wel van Samoerai en andere dingen.
pi_102901832
quote:
14s.gif Op zondag 9 oktober 2011 23:56 schreef boem-dikkie het volgende:

[..]

Het probleem is dat als mensen dan naar die pagina gaan ze moeten inloggen. :')

Ik wil dat ze gewoon de foto's kunnen zien.
Ok, maar ftp://pad/ is iets _compleet_ anders dan http://pad/. Het een heeft absoluut niets met het ander te maken en dus kun je niet zomaar ftp in http veranderen en verwachten dat het werkt.
  maandag 10 oktober 2011 @ 01:00:06 #165
12221 Tijn
Powered by MS Paint
pi_102903197
quote:
14s.gif Op zondag 9 oktober 2011 23:56 schreef boem-dikkie het volgende:

[..]

Ik wil dat ze gewoon de foto's kunnen zien.
Dan moet je zorgen voor een webserver die de foto's kan weergeven.
  maandag 10 oktober 2011 @ 01:01:37 #166
75592 GlowMouse
l'état, c'est moi
pi_102903237
quote:
14s.gif Op maandag 10 oktober 2011 01:00 schreef Tijn het volgende:

[..]

Dan moet je zorgen voor een webserver die de foto's kan weergeven.
of je downloadt ze met php naar je eigen server
eee7a201261dfdad9fdfe74277d27e68890cf0a220f41425870f2ca26e0521b0
  maandag 10 oktober 2011 @ 07:02:35 #167
4159 GI
Nee ik heet geen JOE
pi_102904759
quote:
15s.gif Op zondag 9 oktober 2011 23:40 schreef boem-dikkie het volgende:
Oké. Nog even over mijn vorige vraag.

Ik heb het voor elkaar gekregen om met ftp_nlist op mijn eigen server de bestandsnamen van een andere FTP server op te halen.. Ik moet deze foto's nu laten zien. Nou zou je zeggen dat dat wel wil met gewoon <img> maar niet dus. Als ik ze link naar http://zijnserver.com/foto/bla.png werkt het niet, zodra ik er FTP voor zet werkt het wel. Het pad is dus juist, alleen er gebeurd iets waardoor ik op die andere site via dat pad de foto's niet kan vinden.

Die andere website is een NAS waar via dynDNS een naam wordt gegeven aan het IPadres.

Iemand (die mijn warrige verhaal snapt) een idee hoe ik dit kan oplossen?
Heb je zelf beheer over die server waar je het met FTP vandaan moet halen ? Is er een http:// link die naar dezelfde map als jouw FTP map verwijst ?

en anders is het inderdaad kwestie van de map leeg te trekken met PHP, de files lokaal op te slaan en vervolgens ook nog eens te zorgen dat als ze daar weggehaald worden, dat ze bij jou ook verdwijnen.
pi_102904782
quote:
14s.gif Op zondag 9 oktober 2011 23:56 schreef boem-dikkie het volgende:

[..]

Het probleem is dat als mensen dan naar die pagina gaan ze moeten inloggen. :')

Ik wil dat ze gewoon de foto's kunnen zien.
Das nogal logisch, want FTP en HTTP zijn 2 compleet andere dingen. Je FTP is beveiligd met een username en pass. Trek gewoon via FTP die directory leeg, sla de foto`s lokaal op en toon ze dan, of kijk naar de mogelijkheid om een webserver op je NAS te draaien.
  maandag 10 oktober 2011 @ 09:19:37 #169
137776 boem-dikkie
Jedi Mind Baby!
pi_102905942
quote:
0s.gif Op maandag 10 oktober 2011 07:10 schreef Scorpie het volgende:

[..]

Das nogal logisch, want FTP en HTTP zijn 2 compleet andere dingen. Je FTP is beveiligd met een username en pass. Trek gewoon via FTP die directory leeg, sla de foto`s lokaal op en toon ze dan, of kijk naar de mogelijkheid om een webserver op je NAS te draaien.
Dat snap ik wel. Ik snap alleen niet waarom ik via HTTP niet bij die files kan en via FTP wel. Diegene die die FTP server gebruikt heeft een of ander programma'tje draaien die alle namen van bestanden veranderd in een random naam van cijfers en letters.
Ik weet niks van Hindoes. Wel van Samoerai en andere dingen.
pi_102905993
quote:
13s.gif Op maandag 10 oktober 2011 09:19 schreef boem-dikkie het volgende:

[..]

Dat snap ik wel. Ik snap alleen niet waarom ik via HTTP niet bij die files kan en via FTP wel. Diegene die die FTP server gebruikt heeft een of ander programma'tje draaien die alle namen van bestanden veranderd in een random naam van cijfers en letters.
Draait er uberhaupt een HTTP server op die NAS?
  maandag 10 oktober 2011 @ 09:26:06 #171
137776 boem-dikkie
Jedi Mind Baby!
pi_102906023
quote:
5s.gif Op maandag 10 oktober 2011 09:23 schreef Scorpie het volgende:

[..]

Draait er uberhaupt een HTTP server op die NAS?
Ja want hij heeft ook twee andere websites draaien op die NAS.
Ik weet niks van Hindoes. Wel van Samoerai en andere dingen.
  maandag 10 oktober 2011 @ 09:33:47 #172
4159 GI
Nee ik heet geen JOE
pi_102906160
quote:
14s.gif Op maandag 10 oktober 2011 09:26 schreef boem-dikkie het volgende:

[..]

Ja want hij heeft ook twee andere websites draaien op die NAS.
Dan moet je er dus alleen voor zorgen dat je erachter komt welk http adres koppelt aan de ftp folder :)
  maandag 10 oktober 2011 @ 09:36:03 #173
137776 boem-dikkie
Jedi Mind Baby!
pi_102906196
quote:
3s.gif Op maandag 10 oktober 2011 09:33 schreef GI het volgende:

[..]

Dan moet je er dus alleen voor zorgen dat je erachter komt welk http adres koppelt aan de ftp folder :)
Wellicht handig. Zal even kijken.
Ik weet niks van Hindoes. Wel van Samoerai en andere dingen.
  maandag 10 oktober 2011 @ 09:37:13 #174
4159 GI
Nee ik heet geen JOE
pi_102906223
Om even een cliche door de bocht te gooien :

"Denk in oplossingen, niet in problemen". Ze staat op de server, de server heeft een webserver. 1+1=2.
  maandag 10 oktober 2011 @ 09:38:36 #175
137776 boem-dikkie
Jedi Mind Baby!
pi_102906249
quote:
3s.gif Op maandag 10 oktober 2011 09:37 schreef GI het volgende:
Om even een cliche door de bocht te gooien :

"Denk in oplossingen, niet in problemen". Ze staat op de server, de server heeft een webserver. 1+1=2.
True.
Ik weet niks van Hindoes. Wel van Samoerai en andere dingen.
  maandag 10 oktober 2011 @ 09:40:44 #176
12221 Tijn
Powered by MS Paint
pi_102906287
quote:
13s.gif Op maandag 10 oktober 2011 09:19 schreef boem-dikkie het volgende:

[..]

Dat snap ik wel. Ik snap alleen niet waarom ik via HTTP niet bij die files kan en via FTP wel.
Omdat de document root van de webserver blijkbaar niet hetzelfde is als de homefolder van de FTP-user.
  dinsdag 11 oktober 2011 @ 11:32:36 #177
137776 boem-dikkie
Jedi Mind Baby!
pi_102948259
Ik heb het uitgevogeld. De map /photo/ waar de foto's in staan die ik wil bereiken is beheerd door een programma Photo Station op de NAS die als webserver dient. Hierdoor is het dus onmogelijk om zonder het daadwerkelijke Photo Station die foto's op te halen en neer te plempen op een andere website..

Weten jullie of er misschien een functie is waarmee ik gemakkelijk in kan loggen op die FTP (nas), elke 12 uur check op updates en dan alles automatisch kopieer naar de FTP waar ook de website staat die de foto's moet laten zien?
Ik weet niks van Hindoes. Wel van Samoerai en andere dingen.
pi_102948687
quote:
14s.gif Op dinsdag 11 oktober 2011 11:32 schreef boem-dikkie het volgende:
Ik heb het uitgevogeld. De map /photo/ waar de foto's in staan die ik wil bereiken is beheerd door een programma Photo Station op de NAS die als webserver dient. Hierdoor is het dus onmogelijk om zonder het daadwerkelijke Photo Station die foto's op te halen en neer te plempen op een andere website..

Weten jullie of er misschien een functie is waarmee ik gemakkelijk in kan loggen op die FTP (nas), elke 12 uur check op updates en dan alles automatisch kopieer naar de FTP waar ook de website staat die de foto's moet laten zien?
Je zou de standaard FTP functies van PHP kunnen gebruiken en het script dmv een cronjob elke 12 uur laten uitvoeren.

Zie ook: http://www.php.net/manual/en/ref.ftp.php
  woensdag 12 oktober 2011 @ 11:17:05 #179
25889 Sitethief
Fulltime Flapdrol
pi_102991142
O+ _O_ O+ xdebug+netbeans O+ _O_ O+
Stroek: Sitethief, die is heel groot en sterk :Y.
Faat: *zucht* zoals gewoonlijk hoor Sitethief weer in de bocht &gt;:)
  woensdag 12 oktober 2011 @ 13:51:13 #180
63192 ursel
"Het Is Hier Fantastisch!
pi_102995932
Kan misschien aan mij liggen, maar kan het nergens vinden.
Mijn Zend_Soap_Client spuugt als die klaar is met de functie getLastRequest er netjes een xml uit. Alles gaat eigenlijk ook gewoon goed. Alleen de gehele XML wordt getoont op 1 regel, ipv netjes met linebreaks etc.

Iemand ideeën? :')
SPOILER
Om spoilers te kunnen lezen moet je zijn ingelogd. Je moet je daarvoor eerst gratis Registreren. Ook kun je spoilers niet lezen als je een ban hebt.
pi_103037884
Ik ben bezig met een klein artikel waardering systeem.

Op een pagina kan een gebruiker aangeven of die pagina 'nuttig' was (dit is ja/nee, wat in de database wordt neergezet als 1/0).

Nu wil ik vanuit een soort van beheer systeem dit uitlezen.

De structuur is heel simpel:

De tabel met artikelen

1
2
article
id, text, date

De tabel met feedback

1
2
feedback
id, article_id, choice, date

Ik heb met een simpele query met een left join de tabellen aan elkaar, alleen wil ik het percentage weten welke op "ja" (=1) hebben geklikt

1SELECT id, COUNT(feedback.id) AS aantal FROM article LEFT JOIN feedback ON (article.id = feedback.article_id) GROUP BY id 

Dit is in het kort de query zoals ik die nu heb (ik heb nog wat aliassen toegevoegd, maar is niet relevant). De query werkt zover. Van ieder artikel, krijg ik daarnaast het aantal waarderingen. Nu wil ik weten hoeveel van die waarderingen dus 1 zijn. Dit krijg ik niet voor elkaar. Dacht zelf in de richting van

1COUNT(feedback.choice = 1 / COUNT(feedback.id) * 100) AS percentage

Wie kan me helpen? Kan het eventueel wel in PHP doen, maar het is mooier en scheelt code als het direct met MySQL kan.
  donderdag 13 oktober 2011 @ 15:02:20 #182
75592 GlowMouse
l'état, c'est moi
pi_103038001
Denormaliseer en stop het aantal in de tabel article. Anders zoek je:
1(SUM(IF(feedback.choice = 1,1,0)) / COUNT(*) * 100) AS percentage
of simpeler:
1(SUM(feedback.choice) / COUNT(*) * 100) AS percentage
eee7a201261dfdad9fdfe74277d27e68890cf0a220f41425870f2ca26e0521b0
pi_103038013
quote:
0s.gif Op donderdag 13 oktober 2011 14:58 schreef remi1986 het volgende:
Ik ben bezig met een klein artikel waardering systeem.

Op een pagina kan een gebruiker aangeven of die pagina 'nuttig' was (dit is ja/nee, wat in de database wordt neergezet als 1/0).

Nu wil ik vanuit een soort van beheer systeem dit uitlezen.

De structuur is heel simpel:

De tabel met artikelen
[ code verwijderd ]

De tabel met feedback
[ code verwijderd ]

Ik heb met een simpele query met een left join de tabellen aan elkaar, alleen wil ik het percentage weten welke op "ja" (=1) hebben geklikt
[ code verwijderd ]

Dit is in het kort de query zoals ik die nu heb (ik heb nog wat aliassen toegevoegd, maar is niet relevant). De query werkt zover. Van ieder artikel, krijg ik daarnaast het aantal waarderingen. Nu wil ik weten hoeveel van die waarderingen dus 1 zijn. Dit krijg ik niet voor elkaar. Dacht zelf in de richting van
[ code verwijderd ]

Wie kan me helpen? Kan het eventueel wel in PHP doen, maar het is mooier en scheelt code als het direct met MySQL kan.
http://forums.mysql.com/read.php?52,134684,134741#msg-134741

Zoiets ?
pi_103038353
quote:
0s.gif Op donderdag 13 oktober 2011 15:02 schreef GlowMouse het volgende:
Denormaliseer en stop het aantal in de tabel article. Anders zoek je:
[ code verwijderd ]

of simpeler:
[ code verwijderd ]

Super, dit is precies wat ik zocht!
pi_103067133
Vraag aan de experts! :)

Ik wil een site aanpassen qua 'wachtwoorden'. Nu gebruikt de site standaard MD5 (die met een simpele rainbowtable kan gehacked worden). Nu wil ik deze aanpassen en omzetten naar sha oid.

Alleen is het niet mogelijk om het originele wachtwoord te achterhalen, hoe zou ik deze user base toch beter kunnen beschermen.

Zelf zit ik te denken aan dit.

VAN DB -> MD5(PASS) -> SHA1(MD5 - SALT - MD5) -> NAAR DB

Idee of zit ik verkeerd te denken?
The people who lost my respect will never get a capital letter for their name again.
Like trump...
  vrijdag 14 oktober 2011 @ 10:04:11 #186
91039 mstx
2x1/2 = 1/2 x 1/2
pi_103067218
quote:
5s.gif Op vrijdag 14 oktober 2011 09:59 schreef Chandler het volgende:
Vraag aan de experts! :)

Ik wil een site aanpassen qua 'wachtwoorden'. Nu gebruikt de site standaard MD5 (die met een simpele rainbowtable kan gehacked worden). Nu wil ik deze aanpassen en omzetten naar sha oid.

Alleen is het niet mogelijk om het originele wachtwoord te achterhalen, hoe zou ik deze user base toch beter kunnen beschermen.

Zelf zit ik te denken aan dit.

VAN DB -> MD5(PASS) -> SHA1(MD5 - SALT - MD5) -> NAAR DB

Idee of zit ik verkeerd te denken?
Ik had hetzelfde probleem en heb het ook ongeveer zo opgelost, maar dan met sha512.
Ik weet niet of er ook nadelen zitten aan 2x hashen, behalve dan dat het ietsje langer duurt.
Op donderdag 2 juli 2009 22:41 schreef RTB het volgende:
als ik elk rap"liedje" een kans moest geven was ik aan het eind van dit millennium nog bezig met het tempo waarin die kotshoop uitgebraakt wordt.
👾
  vrijdag 14 oktober 2011 @ 10:07:26 #187
75592 GlowMouse
l'état, c'est moi
pi_103067273
Zorg dat de salt per user uniek is, één keer de MD5 in de SHA is wel voldoende.
eee7a201261dfdad9fdfe74277d27e68890cf0a220f41425870f2ca26e0521b0
pi_103067304
Hoe bedoel je dat de salt per user uniek moet zijn? doel je dan op gebruik van USER ID, Registratie datum of andere gegevens?
The people who lost my respect will never get a capital letter for their name again.
Like trump...
pi_103067418
Beter kan je als iemand inlogt dit proces uitvoeren. Dus als de gegevens van het inlog formulier kloppen, en de user zijn password is nog niet aangepast naar de nieuwe hash, gewoon met een tijdelijke column in de user tabel die default op false staat checken, dan een update doen op de password column.

Dus waar je normaal gesproken een sessie aanmaakt bij de login, ook nog even het wachtwoord updaten in de db als dit nog niet is gedaan. Een minder gebruikersvriendelijke, maar wel snellere optie, is om gewoon iedereen zijn wachtwoord te resetten en een mail sturen dat ze hun wachtwoord opnieuw moeten instellen of zelf een nieuw random wachtwoord aan iedere gebruiker sturen.
pi_103067468
quote:
5s.gif Op vrijdag 14 oktober 2011 09:59 schreef Chandler het volgende:
Vraag aan de experts! :)

Ik wil een site aanpassen qua 'wachtwoorden'. Nu gebruikt de site standaard MD5 (die met een simpele rainbowtable kan gehacked worden). Nu wil ik deze aanpassen en omzetten naar sha oid.

Alleen is het niet mogelijk om het originele wachtwoord te achterhalen, hoe zou ik deze user base toch beter kunnen beschermen.

Zelf zit ik te denken aan dit.

VAN DB -> MD5(PASS) -> SHA1(MD5 - SALT - MD5) -> NAAR DB

Idee of zit ik verkeerd te denken?
Op tweakers.net hebben ze op het moment een overgangsperiode. Ze zijn overgegaan naar een nieuwe manier van hashen. De eerste keer dat je inlogt wordt dat nog geconfirmeerd met de oude hash en wordt direct een nieuwe hash aangemaakt en de oude verwijderd (neem ik aan).

Maar je kunt idd ook dubbel hashen, lijkt me weinig mis mee. En voor de salt kun je idd vanalles gebruiken wat je opslaat over een user: gebruikersnaam, registratiedatum, desnoods met een random-string generator voor iedere user een speciale saltstring maken en opslaan in je users tabel.
  vrijdag 14 oktober 2011 @ 10:17:52 #191
58834 Catbert
The evil HR Director.
pi_103067486
Zowel SHA als MD5 zijn niet veilig. Rainbow tables is niet je grootste probleem. Je grootste probleem is dat zelfs SHA te snel is. GPU bruteforcen is tegenwoordig de manier waarop deze passwords gekraakt worden, niet d.m.v. rainbow tables want die zijn te verslaan met een simpele salt.

Ter info:
http://chargen.matasano.c(...)to-know-about-s.html

Conclusie: je moet bcrypt gebruiken, en geen MD5 of SHA.
http://stackoverflow.com/(...)ing-passwords-in-php

quote:
0s.gif Op vrijdag 14 oktober 2011 10:16 schreef Koepad het volgende:
Maar je kunt idd ook dubbel hashen, lijkt me weinig mis mee. En voor de salt kun je idd vanalles gebruiken wat je opslaat over een user: gebruikersnaam, registratiedatum, desnoods met een random-string generator voor iedere user een speciale saltstring maken en opslaan in je users tabel.
Dat laatste heb je natuurlijk geen hol aan. Als ze je userdatabase hebben, hebben ze ook je salts. Kun je net zo goed de username als een van de salts gebruiken.
"[...] a large number of the teenagers claiming Asperger's are, in fact, merely dicks."
pi_103067644
quote:
0s.gif Op vrijdag 14 oktober 2011 10:17 schreef Catbert het volgende:
Zowel SHA als MD5 zijn niet veilig. Rainbow tables is niet je grootste probleem. Je grootste probleem is dat zelfs SHA te snel is. GPU bruteforcen is tegenwoordig de manier waarop deze passwords gekraakt worden, niet d.m.v. rainbow tables want die zijn te verslaan met een simpele salt.

Ter info:
http://chargen.matasano.c(...)to-know-about-s.html

Conclusie: je moet bcrypt gebruiken, en geen MD5 of SHA.
http://stackoverflow.com/(...)ing-passwords-in-php

Dat laatste heb je natuurlijk geen hol aan. Als ze je userdatabase hebben, hebben ze ook je salts. Kun je net zo goed de username als een van de salts gebruiken.
bcrypt is overkill. Een sterke dynamische salt voor elke user met sha(512) is voldoende voor de meesten. Zodra je hele database kan worden ingekeken ben je een stuk sterker met een dynamisch stuk salt.
  vrijdag 14 oktober 2011 @ 10:26:05 #193
12221 Tijn
Powered by MS Paint
pi_103067678
Je zou ook met een standaardoplossing zoals deze kunnen werken. Hoef je het niet zelf te knutselen.
pi_103067730
quote:
0s.gif Op vrijdag 14 oktober 2011 10:17 schreef Catbert het volgende:

Dat laatste heb je natuurlijk geen hol aan. Als ze je userdatabase hebben, hebben ze ook je salts. Kun je net zo goed de username als een van de salts gebruiken.
Dan hebben ze een stukje van je salt. Ze weten niet hoe vaak jij die nog achterstevoren, binnenstebuiten, base64 en md5't. En wat je nog meer aan gegevens gebruikt.

En bovendien het hele idee van een salt is dat het onmogelijk wordt om hashes te vergelijken. Daarvoor boeit het nieteens of de aanvaller weet hoe de salt eruit ziet. Als ze maar uniek zijn.
  vrijdag 14 oktober 2011 @ 10:29:58 #195
58834 Catbert
The evil HR Director.
pi_103067754
quote:
1s.gif Op vrijdag 14 oktober 2011 10:24 schreef Ouqz het volgende:
bcrypt is overkill. Een sterke dynamische salt voor elke user met sha(512) is voldoende voor de meesten. Zodra je hele database kan worden ingekeken ben je een stuk sterker met een dynamisch stuk salt.
Ik zeg niet dat je niet moet salten. Ik bedoel alleen dat een oplossing puur op MD5 en/of SHA een beetje te wensen overlaat omdat tegenwoordig passwords gewoon gebruteforced worden. Natuurlijk is bcrypt voor een simpele site misschien wat overkill, maar bcrypt is tenminste redelijk future-proof.
"[...] a large number of the teenagers claiming Asperger's are, in fact, merely dicks."
  vrijdag 14 oktober 2011 @ 10:32:45 #196
12221 Tijn
Powered by MS Paint
pi_103067823
quote:
0s.gif Op vrijdag 14 oktober 2011 10:29 schreef Catbert het volgende:

[..]

Ik zeg niet dat je niet moet salten. Ik bedoel alleen dat een oplossing puur op MD5 en/of SHA een beetje te wensen overlaat omdat tegenwoordig passwords gewoon gebruteforced worden.
Is het idee van salten niet dat bruteforcen weinig zin heeft en dat daarom MD5 of SHA1 opeens helemaal niet zo brak meer zijn?
  vrijdag 14 oktober 2011 @ 10:34:37 #197
63192 ursel
"Het Is Hier Fantastisch!
pi_103067864
Je bescherm je toch wel tegen bruteforcen neem ik aan?
Na X aantal mislukte pogingen binnen Y periode is gewoon geen toegang.
  vrijdag 14 oktober 2011 @ 10:36:31 #198
12221 Tijn
Powered by MS Paint
pi_103067920
quote:
0s.gif Op vrijdag 14 oktober 2011 10:34 schreef ursel het volgende:
Je bescherm je toch wel tegen bruteforcen neem ik aan?
Na X aantal mislukte pogingen binnen Y periode is gewoon geen toegang.
Het gaat er voornamelijk om wat je doet als je hele usertabel uitlekt.
  vrijdag 14 oktober 2011 @ 10:39:18 #199
63192 ursel
"Het Is Hier Fantastisch!
pi_103068001
quote:
2s.gif Op vrijdag 14 oktober 2011 10:36 schreef Tijn het volgende:

[..]

Het gaat er voornamelijk om wat je doet als je hele usertabel uitlekt.
Zie daarvoor weer de reactie van Koepad :7

quote:
3s.gif Op vrijdag 14 oktober 2011 10:28 schreef Koepad het volgende:

[..]

Dan hebben ze een stukje van je salt. Ze weten niet hoe vaak jij die nog achterstevoren, binnenstebuiten, base64 en md5't. En wat je nog meer aan gegevens gebruikt.

En bovendien het hele idee van een salt is dat het onmogelijk wordt om hashes te vergelijken. Daarvoor boeit het nieteens of de aanvaller weet hoe de salt eruit ziet. Als ze maar uniek zijn.
pi_103068004
quote:
5s.gif Op vrijdag 14 oktober 2011 10:32 schreef Tijn het volgende:

[..]

Is het idee van salten niet dat bruteforcen weinig zin heeft en dat daarom MD5 of SHA1 opeens helemaal niet zo brak meer zijn?
Nee, bruteforcen kun je altijd doen. salten doe je zodat als iemand je database te pakken krijgt, hij niet simpelweg de hashes kan vergelijken met een andere database met hashes die hij gemaakt heeft met zijn "check wie jou geblokkeerd heeft op msn"-website.
  vrijdag 14 oktober 2011 @ 10:54:16 #201
58834 Catbert
The evil HR Director.
pi_103068400
quote:
0s.gif Op vrijdag 14 oktober 2011 10:39 schreef ursel het volgende:
Zie daarvoor weer de reactie van Koepad :7
Als ze je database hebben hebben ze waarschijnlijk ook je code. Dus ze weten waarmee je salt en hoe vaak je hashed. Je wil dus zorgen dat ze niet 100 miloen hashes per seconde kunnen vergelijken op een hedendaagse GPU. Daarom 'moet' je m.i. tegenwoordig overgaan op blowfish-gebaseerde cyphers.
"[...] a large number of the teenagers claiming Asperger's are, in fact, merely dicks."
  vrijdag 14 oktober 2011 @ 10:58:01 #202
12221 Tijn
Powered by MS Paint
pi_103068493
quote:
0s.gif Op vrijdag 14 oktober 2011 10:54 schreef Catbert het volgende:

[..]

Als ze je database hebben hebben ze waarschijnlijk ook je code.
Nou, dat lijkt me niet. 9/10 keer dat er een database uitlekt komt dat doordat de applicatie een lek had en er bv een SQL injectie kon worden uitgevoerd. Code lekt voor zover ik weet lang zo vaak niet uit als een database.

Niet dat het verder slecht is om erbij stil te staan wat er gebeurt als je code wel uitlekt natuurlijk. Security by obscurity enzo, dat wil je niet. Maar de statement "als iemand je database heeft, heeft 'ie waarschijnlijk ook je code" lijkt me wat overdreven.
pi_103068595
Het wil deze week niet echt lukken met de queries..

Ik heb hier een database waar datums en tijden worden opgeslagen in een varchar veld (niet mijn werk!)

99% van de datums en tijden staan er in als YYYYMMDDHHMMSS

Die 1% staat er in als DDMMYY.

Nu wil ik om het gelijk te trekken, die DDMMYY velden omzetten naar YYYYMMDDHHMMSS

Nu had ik daarvoor een query gemaakt, maar dat gaat dus niet goed.

1UPDATE files SET file_exp = IF(LENGTH(file_expiration_date) = 6, DATE_FORMAT(STR_TO_DATE(file_expiration_date,'%d%m%y'), '%Y%m%d%h%i%s'))

Heeft iemand een idee?
pi_103068622
quote:
0s.gif Op vrijdag 14 oktober 2011 11:01 schreef remi1986 het volgende:
Het wil deze week niet echt lukken met de queries..

Ik heb hier een database waar datums en tijden worden opgeslagen in een varchar veld (niet mijn werk!)

99% van de datums en tijden staan er in als YYYYMMDDHHMMSS

Die 1% staat er in als DDMMYY.

Nu wil ik om het gelijk te trekken, die DDMMYY velden omzetten naar YYYYMMDDHHMMSS

Nu had ik daarvoor een query gemaakt, maar dat gaat dus niet goed.
[ code verwijderd ]

Heeft iemand een idee?
EDIT: ow wat ik hier doe is het ff in een tijdelijke kolom opslaan, zodat ik niet de huidige gegevens overschrijf (veld file_exp)
  vrijdag 14 oktober 2011 @ 11:04:09 #205
58834 Catbert
The evil HR Director.
pi_103068650
quote:
2s.gif Op vrijdag 14 oktober 2011 10:58 schreef Tijn het volgende:
Nou, dat lijkt me niet.
Daar moet je wel vanuit gaan. Dat is het hele punt van vooruit denken over beveiliging.

quote:
0s.gif Op vrijdag 14 oktober 2011 11:01 schreef remi1986 het volgende:
Nu had ik daarvoor een query gemaakt, maar dat gaat dus niet goed.
M'n glazen bol ligt bij de lommerd dus als je me ff vertelt wat er misgaat?
"[...] a large number of the teenagers claiming Asperger's are, in fact, merely dicks."
  vrijdag 14 oktober 2011 @ 11:07:52 #206
58834 Catbert
The evil HR Director.
pi_103068761
Gokje:
1UPDATE files SET file_exp = STR_TO_DATE(file_expiration_date,'%d%m%y') WHERE LENGTH(file_expiration_date) = 6

Ik ga er van uit dat file_exp een date(time) veld is en geen string veld.
"[...] a large number of the teenagers claiming Asperger's are, in fact, merely dicks."
pi_103068796
quote:
0s.gif Op vrijdag 14 oktober 2011 11:07 schreef Catbert het volgende:
Gokje:
[ code verwijderd ]

Ik ga er van uit dat file_exp een date(time) veld is en geen string veld.
Nee, omdat het type gelijk moet blijven. De waarden in file_expiration_date worden straks aangepast. Zoals ik aangaf is file_exp nu een tijdelijke kolom.

Het is niet mijn structuur, maar 'moet' het aanpassen
  vrijdag 14 oktober 2011 @ 11:10:54 #208
58834 Catbert
The evil HR Director.
pi_103068829
quote:
0s.gif Op vrijdag 14 oktober 2011 11:09 schreef remi1986 het volgende:
Nee, omdat het type gelijk moet blijven. De waarden in file_expiration_date worden straks aangepast. Zoals ik aangaf is file_exp nu een tijdelijke kolom.
In dat geval:
1UPDATE files SET file_exp = DATE_FORMAT(STR_TO_DATE(file_expiration_date,'%d%m%y'), '%Y%m%d%h%i%s') WHERE LENGTH(file_expiration_date) = 6
"[...] a large number of the teenagers claiming Asperger's are, in fact, merely dicks."
pi_103068939
quote:
0s.gif Op vrijdag 14 oktober 2011 11:10 schreef Catbert het volgende:

[..]

In dat geval:
[ code verwijderd ]

pffff het kan soms inderdaad zo makkelijk zijn. I.p.v. met die IF te knoeien, kan je ook gewoon een WHERE gebruiken.

Mijn dank is weer groot

KOFFIEEEE !!!! c_/
  vrijdag 14 oktober 2011 @ 11:22:15 #210
58834 Catbert
The evil HR Director.
pi_103069161
You're welcome :)
"[...] a large number of the teenagers claiming Asperger's are, in fact, merely dicks."
pi_103070045
Leuke discussie over salts ;)

Ik heb er nu voor gekozen om even een extra veld in mijn tabel te zetten ivm wachtwoorden, na eerste keer inlog wordt het huidige wachtwoord vervangen met het nieuwe wachtwoord en zet ik het nieuwe veld op 1 ;)

Tnx mensen! :)
The people who lost my respect will never get a capital letter for their name again.
Like trump...
pi_103146789
Ik zou zo 123 niet weten waar ik dit probleem moet plaatsen, dus doe ik het maar in m'n oude vertrouwde topic :@

Iemand hier beetje ervaring met de mod_rewrite? Ik krijg bij de volgende rewrite rule een 500 error:
1RewriteRule ^(.*) /index.php?page=$1 [L]

Terwijl die bij deze nergens over zeurt:
1RewriteRule ^(.*)\.htm$ /index.php?page=$1 [L]

Ik vind alleen die 2e optie niet mooi staan, dus wil het graag op de eerste manier doen. Iemand een oplossing hiervoor? :)
  zondag 16 oktober 2011 @ 14:29:10 #213
136730 PiRANiA
All thinking men are atheists.
pi_103146936
De redirect match álles (.*), dus ook index.php?page=blabla . Zo blijf je oneindig redirecten.
pi_103147069
Heb je dit geprobeerd?
1RewriteRule ^(.*)$ /index.php?page=$1 [L]

Da's dus niet helemaal hetzelfde als je eerste regel, ik heb een $ toegevoegd.
  zondag 16 oktober 2011 @ 14:35:51 #215
136730 PiRANiA
All thinking men are atheists.
pi_103147134
quote:
0s.gif Op zondag 16 oktober 2011 14:33 schreef Light het volgende:
Heb je dit geprobeerd?
[ code verwijderd ]

Da's dus niet helemaal hetzelfde als je eerste regel, ik heb een $ toegevoegd.
Waarom zou dat verschil maken?
  zondag 16 oktober 2011 @ 14:38:40 #216
136730 PiRANiA
All thinking men are atheists.
pi_103147224
1RewriteCond %{REQUEST_FILENAME} !-f
Als je die gebruikt? Ik denk dat hij dan alleen de rewrite doet als het bestand niet bestaat :s).
pi_103147714
quote:
5s.gif Op zondag 16 oktober 2011 14:35 schreef PiRANiA het volgende:

[..]

Waarom zou dat verschil maken?
Omdat er dan precies 1 mogelijke match is. Maar ik heb het niet getest.
pi_103148826
quote:
0s.gif Op zondag 16 oktober 2011 14:33 schreef Light het volgende:
Heb je dit geprobeerd?
[ code verwijderd ]

Da's dus niet helemaal hetzelfde als je eerste regel, ik heb een $ toegevoegd.
Geprobeerd, baat niet.

quote:
14s.gif Op zondag 16 oktober 2011 14:38 schreef PiRANiA het volgende:

[ code verwijderd ]

Als je die gebruikt? Ik denk dat hij dan alleen de rewrite doet als het bestand niet bestaat :s).
Even proberen :)

//EDIT:
You're my hero! :D
Na het toevoegen van dat stukje code werkt het :)
pi_103149097
--nevermind, opgelost--

[ Bericht 48% gewijzigd door dirkjo op 16-10-2011 15:43:55 (probleem opgelost) ]
pi_103159568
Ik heb sinds een paar dagen een raar probleem op een aantal van mijn websites. Wanneer een pagina opgevraagd wordt wordt de verbinding door de server gereset.

Dit gebeurt alleen bij een POST oproep van de pagina. Via GET is de pagina wel op te vragen en werkt alles naar behoren.

Het rare is dat niet alle POST oproepen of pagina's op de server hier last van hebben. Slechts enkele pagina's.

Voorbeeld:
Inloggen op http://www.fanfic.nl/ roept http://www.fanfic.nl/process.php aan en geeft een aanmelding via POST en niet via GET. Hernoemen/verplaatsen van de pagina lost niets op.

Wie weet in welke richting ik het moet zoeken? Heb echt geen flauw idee.
pi_103159690
Wat zeggen de log files? Draai je apache? windows of Linux? Welke paketten? Ec etc.
pi_103160281
quote:
0s.gif Op zondag 16 oktober 2011 20:13 schreef Scorpie het volgende:
Wat zeggen de log files? Draai je apache? windows of Linux? Welke paketten? Ec etc.
Alles draait op een LAMP opstelling. PHP versie 5.1.6. Logfiles zal ik zo eens opzoeken.

Volgens mij is de PHP versie onlangs geupgrade. Zou het daar aan kunnen liggen? En wat zou dan het probleem kunnen veroorzaken?
pi_103169552
Waar ik dan zelf op zou testen is
1
2
3
4
5
6
<?php
// voor als er een sessie mocht zijn.
echo var_dump($_SESSION);
// Check of hij uberhaupt van die pagina iets heeft gevonden aan POST variabelen.
echo var_dump($_POST);
?>
en dan kijken of er uberhaupt iets wordt op geslagen, op de process pagina. :) Je doorstuur pagina even uitschakelen. waardoor je het geheel als testpagina voor jezelf kan bekijken. Schwa78 : Je pagina, http://rutger.xcu.nl/ is onbereikbaar. ;(

[ Bericht 3% gewijzigd door cablegunmaster op 16-10-2011 23:00:41 ]
Redacted
  zondag 16 oktober 2011 @ 23:16:14 #224
75592 GlowMouse
l'état, c'est moi
pi_103170975
quote:
0s.gif Op zondag 16 oktober 2011 22:50 schreef cablegunmaster het volgende:
Waar ik dan zelf op zou testen is
[ code verwijderd ]

en dan kijken of er uberhaupt iets wordt op geslagen, op de process pagina. :) Je doorstuur pagina even uitschakelen. waardoor je het geheel als testpagina voor jezelf kan bekijken. Schwa78 : Je pagina, http://rutger.xcu.nl/ is onbereikbaar. ;(
http://nl3.php.net/var_dump
quote:
Return Values

No value is returned.
eee7a201261dfdad9fdfe74277d27e68890cf0a220f41425870f2ca26e0521b0
  maandag 17 oktober 2011 @ 00:28:42 #225
12221 Tijn
Powered by MS Paint
pi_103174121
quote:
0s.gif Op zondag 16 oktober 2011 20:25 schreef schwa78 het volgende:

[..]

Alles draait op een LAMP opstelling. PHP versie 5.1.6.

Volgens mij is de PHP versie onlangs geupgrade.
Euh, weet je dat zeker? PHP 5.1.6 is uit 2006. Behoorlijk antiek dus.
pi_103178849
Mijn host smsde vanochtend dat het weer zou moeten werken. Ik zal met hem overleggen wat er precies misging. Ook zal ik vragen welke versie van PHP er nu draait en kijken welke versie dat moet worden.

xcu.nl bestaat idd niet meer :P

Dank voor de hulp!
pi_103225532
Niet helemaal het juist topic maar ik hoop hier mn antwoord te vinden.

Ik zit vast aan een 64bit windows server.... met iis en heb dus nu een probleem met Cronjobs.
Task Scheduler is onvoldoende
Ik heb verschillende php files die op verschillende momenten moeten worden aangeroepen.

Zcron en Pycron heb ik geprobeerd, Pycron doet helemaal niks.
Zcron krijg ik schijnbaar niet juist ingesteld om de juiste php file te openen.

Hebben jullie een goede vervanger voor windows??
  dinsdag 18 oktober 2011 @ 09:57:11 #228
75592 GlowMouse
l'état, c'est moi
pi_103225567
Wat is er mis met Task Scheduler?
eee7a201261dfdad9fdfe74277d27e68890cf0a220f41425870f2ca26e0521b0
abonnement Unibet Coolblue Bitvavo
Forum Opties
Forumhop:
Hop naar:
(afkorting, bv 'KLB')