DIG Digital Corner
Alles wat je altijd al over computers, hardware, software, internet en elektronische gadgets had willen weten, maar niet op Tweakers.net durft te vragen.
Hey, die site was ik al een tijdje kwijt. Thxquote:Op maandag 18 april 2005 18:29 schreef ikke_ook het volgende:
Je moet geen wachtwoord in je cookie zetten, ook niet encrypt.
Uit een eerder topic gevist: interessant linkje over beveiliging/inloggen
Wil iedereen die in telekinese gelooft nu mijn hand op steken?
| Foto's van toen en nu | Icons | Whatpulse keyboard | .NET developer? |
| Foto's van toen en nu | Icons | Whatpulse keyboard | .NET developer? |
tnx voor dat linkje. Handige shit
□ Reality is merely an illusion,albeit a very persistent one-A.Einstein
■ Of ik ben gek of de rest van de wereld.Ik denk zelf de rest van de wereld-Rudeonline
□ The war is not meant to be won.It is meant to be continuous-G.Orwell
■ Of ik ben gek of de rest van de wereld.Ik denk zelf de rest van de wereld-Rudeonline
□ The war is not meant to be won.It is meant to be continuous-G.Orwell
Die link had ik Darkomen willen geven als antwoord op z'n vraag.quote:Op maandag 18 april 2005 18:35 schreef ikke_ook het volgende:
Sinds wanneer heb jij sites nodig??
Wil iedereen die in telekinese gelooft nu mijn hand op steken?
| Foto's van toen en nu | Icons | Whatpulse keyboard | .NET developer? |
| Foto's van toen en nu | Icons | Whatpulse keyboard | .NET developer? |
Nou dankzij die pagina weet je dus dat het veel beter kan!quote:Op maandag 18 april 2005 16:57 schreef DionysuZ het volgende:
ik gebruik zelf md5 om het wachtwoord te encrypten. Bij mij staan de inlog wachtwoorden in een database, dubbel md5 gecrypt en als je inlogt krijg je een cookie met je wachtwoord enkel md5 gecrypt. Als mensen je cookie immers achterhalen hebben ze anders ook meteen je wachtwoord. En in mijn geval de hash van het wachtwoord, daarom in de db dubbel. Kan het beter?
Kritische info zoals wachtwoorden en inlognamen kun je beter helemaal buiten de www root houden, indien mogelijk. Een htaccess pw kan in theorie gehacked worden, bijv gesniffed als je geen ssl gebruikt, of gewoon met brute force geraden als je wachtwoord niet veilig genoeg is. De info ligt dan voor het oprapen. Als je een bestand buiten de www root plaatst dan kan de webserver ze niet eens bereiken en zijn ze ook onbereikbaar voor bezoekers. Jij kan de info dan wel bereiken via een ssh verbinding. En als je dan echt secure wil zijn dan maak je de verbinding met een private/public rsa key pair van ten minste 2048 bits grootte, met een 40 tekens lange passphrase.quote:Overigens heb ik de wachtwoorden van de database etc. in een tekst bestand gezet en in een directory gepleurd die ik met een .htaccess file met de volgende inhoud heb beveiligd
[..]
ik ben niet zo'n held op beveiligingsgebied dus als iemand me kan vertellen hoe het beter kan
Unox, the worst operating system.
probleem is dat ik niet buiten de www root bestanden kan plaatsen. Tis nie mijn server en die mogelijkheid wordt me niet geboden. Maar mijn .htaccess bestand bevat geen paswoord, slechts een "Deny all" zodat je er gewoon niet van buiten in kan. Maar misschien dat iemand weet hoe veilig een directory is als er een .htaccess file in staat met als inhoud:
| 1 2 3 4 | <Limit GET POST PUT DELETE> order deny,allow deny from all </Limit> |
□ Reality is merely an illusion,albeit a very persistent one-A.Einstein
■ Of ik ben gek of de rest van de wereld.Ik denk zelf de rest van de wereld-Rudeonline
□ The war is not meant to be won.It is meant to be continuous-G.Orwell
■ Of ik ben gek of de rest van de wereld.Ik denk zelf de rest van de wereld-Rudeonline
□ The war is not meant to be won.It is meant to be continuous-G.Orwell
Je kan ze ook de permissie 600 geven (als de server tenminste goed is geconfigureerd, anders kan je er zelf ook niet meer bij )
Unox, the worst operating system.
hm nu je het zegt, ik zal dat eens proberen
□ Reality is merely an illusion,albeit a very persistent one-A.Einstein
■ Of ik ben gek of de rest van de wereld.Ik denk zelf de rest van de wereld-Rudeonline
□ The war is not meant to be won.It is meant to be continuous-G.Orwell
■ Of ik ben gek of de rest van de wereld.Ik denk zelf de rest van de wereld-Rudeonline
□ The war is not meant to be won.It is meant to be continuous-G.Orwell
600 werkte niet, maar 700 wel.
□ Reality is merely an illusion,albeit a very persistent one-A.Einstein
■ Of ik ben gek of de rest van de wereld.Ik denk zelf de rest van de wereld-Rudeonline
□ The war is not meant to be won.It is meant to be continuous-G.Orwell
■ Of ik ben gek of de rest van de wereld.Ik denk zelf de rest van de wereld-Rudeonline
□ The war is not meant to be won.It is meant to be continuous-G.Orwell
DIe heb ik nu ook, bedanktquote:Op maandag 18 april 2005 19:35 schreef SuperRembo het volgende:
[..]
Die link had ik Darkomen willen geven als antwoord op z'n vraag.
en ik zie dat ik het veilig doe , md5, ip opslaan, online status veld, geen pw of username in cookie of sessie
Das handig, dat linkje Wel een beetje dom om niet gewoon aan dat 1 of 0 (wel of niet ingelogd) te denken. Hoef ik dat bestand ook niet elke keer te openen...
Maar mocht iemand weten welk bestand ik gebruik, in een eigen script dat bestand include, en ook nog weet welke variablenaam ik er aan heb gegeven (of kun je niet via het debuggen alle variable bekijken?) en dat vervolgens simpel weg print.
Maar wanneer ik md5() gebruik, maakt het ook niet veel uit of hij dat te zien komt...
in het includebestand wordt enkel waardes gegeven aan variables. Dus je krijgt idd niets te zien.quote:DutchBlood:
En ik zie het probleem met het includen niet zo, als je je include bestand gewoon een .php extensie geeft krijgt degene die de filename weet in principe niks te zien, zolang je niks print in je include-bestand dus.
Maar mocht iemand weten welk bestand ik gebruik, in een eigen script dat bestand include, en ook nog weet welke variablenaam ik er aan heb gegeven (of kun je niet via het debuggen alle variable bekijken?) en dat vervolgens simpel weg print.
Maar wanneer ik md5() gebruik, maakt het ook niet veel uit of hij dat te zien komt...
quote:Op maandag 18 april 2005 18:29 schreef ikke_ook het volgende:
Uit een eerder topic gevist: interessant linkje over beveiliging/inloggen
Iemand al meer info over OOP?
De OP voor dit topic kan nu gevonden worden op http://wiki.fok.nl/index.php/OP/PHP.
Aanpassen mag, zolang deze maar beter uitkomt dan de huidige
Ook handig: http://wiki.fok.nl/index.php/PHP
Aanpassen mag, zolang deze maar beter uitkomt dan de huidige
Ook handig: http://wiki.fok.nl/index.php/PHP
Op zondag 28 oktober 2007 01:07 schreef clumsy_clown het volgende:
Jump daarentegen, is wįy minder braaf en lief dan hij lijkt
«shmoop|dingen» jawel, jij bent Superjump
Jump daarentegen, is wįy minder braaf en lief dan hij lijkt
«shmoop|dingen» jawel, jij bent Superjump
Wil iedereen die in telekinese gelooft nu mijn hand op steken?
| Foto's van toen en nu | Icons | Whatpulse keyboard | .NET developer? |
| Foto's van toen en nu | Icons | Whatpulse keyboard | .NET developer? |
en http://phpclasses.half2.nl/browse/quote:
En site met een verzameling php classes.
Zelf gebruik ik voor mijn database een class, werkt wel fijn
Wat ik me afvraag, waarom geen usernames in sessies ? Staat ook niks over op die website (over veilig inlog systeem).quote:Op maandag 18 april 2005 20:46 schreef Darkomen het volgende:
[..]
DIe heb ik nu ook, bedankt
en ik zie dat ik het veilig doe , md5, ip opslaan, online status veld, geen pw of username in cookie of sessie
ne okuyon, bokmu var?
Om dezelfde reden als het password. Het is simpelweg te onderscheppen, en hoe meer info een potentiele hacker eenvoudig kan onderscheppen, des te eenvoudiger de hack wordtquote:Op dinsdag 19 april 2005 10:03 schreef saban het volgende:
[..]
Wat ik me afvraag, waarom geen usernames in sessies ? Staat ook niks over op die website (over veilig inlog systeem).
-edit- overigens, voor 1 of ander boerelullen site-tje met een cmsje zal ik me niet zoveel zorgen maken als ik jou was
Een loginnaam kan de hacker toch wel verkrijgen, via het forum bijvoorbeeld, daarom snap ik de nut er niet van.quote:Op dinsdag 19 april 2005 10:20 schreef Swetsenegger het volgende:
[..]
Om dezelfde reden als het password. Het is simpelweg te onderscheppen, en hoe meer info een potentiele hacker eenvoudig kan onderscheppen, des te eenvoudiger de hack wordt
-edit- overigens, voor 1 of ander boerelullen site-tje met een cmsje zal ik me niet zoveel zorgen maken als ik jou was
Website/project waar ik aan werk is geen boerelul site maar een serieuze grote project en ja ik sla usernames op in sessies.
ne okuyon, bokmu var?
Waarom?quote:Op dinsdag 19 april 2005 10:24 schreef saban het volgende:
[..]
Een loginnaam kan de hacker toch wel verkrijgen, via het forum bijvoorbeeld, daarom snap ik de nut er niet van.
Welk forum?
[quote]
Website/project waar ik aan werk is geen boerelul site maar een serieuze grote project en ja ik sla usernames op in sessies.
De vraag is waarom niet.quote:
Bijvoorbeeld als je wilt doen, Welkom $username, waarom niet ?
Ik bedoel, hoe wil je het anders doen, een user-id in de sessie stoppen en steeds een nieuwe query uitvoeren oid ?
/edit
Ik bedoel, zoiets als FOK! bijvoorbeeld, een hacker kan mijn login naam toch gewoon zien
ne okuyon, bokmu var?
Ik heb die link even bekeken maar er staan een hoop merkwaardige dingen in.quote:Op maandag 18 april 2005 19:35 schreef SuperRembo het volgende:
Die link had ik Darkomen willen geven als antwoord op z'n vraag.
Ten eerste het rare idee dat je geen username (user) in je sessie zou mogen opslaan. Dat is natuurlijk de reinste onzin, dat mag wel. Of je nu aan de hand van een variabele controleert of een gebruikers is aangemeld of een volledige user maakt het risico niet groter of kleiner. Oftewel username in sessie stoppen mag wel.
Verder wordt er voorgeteld een database te gebruiken voor het langdurig aangemeld houden van personen. Ook dit is not done, het creeert juist een beveiligings risico. Een database is hier tevens niet voor bedoeld.
Dat heb ik uiteraard, Object georienteerd programmeren is voornamelijk classificeren.quote:Op zondag 17 april 2005 22:52 schreef rekenwonder het volgende:
Ik zal maar niet vragen wat je niet snapt. Ik kan me van mezelf herinneren dat ik de overstap naar OO ook een zeer lastige vond en dat ik ook zeer moeilijk kon aangeven wat ik niet snapte. Het paradoxale was dat ook niemand mij kon uitleggen wat OO nou precies inhield. Maar ergens is het kwartje toch nog gevallen. En het heeft een beter mens van me gemaakt!
Wellicht dat collega MarkVleth er iets nuttigs over te melden heeft?
Net zoals in bijvoorbeeld het dierenrijk. We hebben de classificatie Warmbloedigen en een daarvan afgeleide classificatie zou bijvoorbeeld katachtigen kunnen zijn. Katachtigen is een uitbreiding op warmbloedigen. En dan zien we gelijk een voordeel. We hoeven de classificatie niet nogmaals te schrijven, we breiden deze enkel uit. Het is dus een vorm van gestructureerd programmeren, niets meer niets minder.
ik heb even een vraag je over reguliere expressie waar ik zelf echt even niet uit kom.
Ik heb de volgende code om de url tussen [img] en [/img] te halen.
Maar nu wil ik ook dat hij ook de url vindt die tussen [limg] en [/limg] vindt en ook die tussen [limg] en [/limg] is er toevallig iemand die mij zou kunnen vertellen hoe ik dat voor elkaar krijg ik heb al ongeveer een dag zitten klooien met reguliere expressies en echt gaan snappen doe ik het niet...
Ik heb de volgende code om de url tussen [img] en [/img] te halen.
| 1 2 3 | <?php preg_match_all('/\[img\](.*?)\[\/img\]/si' , $tekst, $url); ?> |
Maar nu wil ik ook dat hij ook de url vindt die tussen [limg] en [/limg] vindt en ook die tussen [limg] en [/limg] is er toevallig iemand die mij zou kunnen vertellen hoe ik dat voor elkaar krijg ik heb al ongeveer een dag zitten klooien met reguliere expressies en echt gaan snappen doe ik het niet...
Kijk hier evenquote:Op dinsdag 19 april 2005 11:16 schreef myz het volgende:
ik heb even een vraag je over reguliere expressie waar ik zelf echt even niet uit kom.
Ik heb de volgende code om de url tussen [afbeelding] te halen.
[ code verwijderd ]
Maar nu wil ik ook dat hij ook de url vindt die tussen [afbeelding] vindt en ook die tussen [afbeelding] is er toevallig iemand die mij zou kunnen vertellen hoe ik dat voor elkaar krijg ik heb al ongeveer een dag zitten klooien met reguliere expressies en echt gaan snappen doe ik het niet...
ne okuyon, bokmu var?
Ik geloof dat ik niet helemaal duidelijk ben geweest wat ik wil.quote:
Ik heb een script gemaakt dat als er in een nieuws bericht een plaatje tussen [img] en [/img] staat dat dan het plaatje word gedownload naar mijn eigen server. Wat ik dan doe met
| 1 2 3 | <?php preg_match_all('/\[img\](.*?)\[\/img\]/si' , $tekst, $url); ?> |
Wat is nu het probleem: Met boven staande code word alleen alles tussen [img] en [/img] gevonden maar ik wil ook dat [limg], [/limg], [rimg] en [/rimg] gevonden worden zodat daar ook de plaatjes van worden gedownload en de urls worden herschreven.
Hoop dat ik nu wel duidelijk ben in wat ik wil bereiken
