CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede Klaphattens Novice
21. juli 2012 - 17:30 Der er 7 kommentarer og
1 løsning

Guids til at lave et sikkert login-system

Mit login-system er ikke så sikkert, så det vil jeg gerne gøre bedre. eller faktisk lave et helt nyt.

Jeg synes mange af de systemer man finder, bliver kritiseret i kommentarfelter. det lykkes mig at finde et system, der for mig ser ok ud, men der er ingen kommentar. det virker dog som lidt voldsomme koder for en som mig, og det vil nok tage mig lang tid at sætte mig ind i det. men jeg vil først lige være sikker på at det er et godt script.

Er det muligt at få en konstruktiv anmeldelse af dette login-system. hvad er godt, hvad er dårligt, hvad er brugbart og hvad er ikke så brugbart:
https://gist.github.com/1118405

Er der nogen der ellers kan anbefale sider hvor man kan læse om opbygning af sikkert login-system. man må også gerne kunne se eksempler på koderne indskrevet, ikke så man kan copy/past, men bare så man kan lære af måden som koderne skrives på. det kunne være fedt, specielt hvis systemet i overstående link ikke kan anbefales.
Avatar billede claes57 Ekspert
21. juli 2012 - 20:00 #1
sql skal omskrives - læs http://www.eksperten.dk/guide/1480
Avatar billede Klaphattens Novice
21. juli 2012 - 22:43 #2
Den del havde jeg regnet med, har også selv været i gang med at øve mig på mysqli. men ville ikke begynde at omskrive det han har lavet, hvis det ikke var et sikkert system.

Ellers nogen kommentar til det?
Avatar billede inteeeL Nybegynder
22. juli 2012 - 00:07 #3
Systemet ser fornuftigt ud; i stort set alle tilfælde, hvor klienten skal samarbejde med databasen bliver de forskellige inputs valideret fint. Men som claes57 nævner, ville det være fordelagtigt at omskrive sql-delen til prepared statement og dermed opnå endnu højere sikkerhed.
Avatar billede Klaphattens Novice
22. juli 2012 - 00:46 #4
Tak claes og inteeeL.
det er dejligt at se at man selv har set den ene ting der bliver nævnt. så er jeg da ikke helt lost :o)

Jeg har først prøvet at download hans system for at test det. da jeg kørte det første gang kom følgende fejl:

Notice: Undefined variable: loginattempts_username in C:\xampp\htdocs\login\authenticate.php on line 323

Notice: Undefined variable: loginattempts_total in C:\xampp\htdocs\login\authenticate.php on line 323

Kan i se fejlen. Da det er copy/paste passer det med hans linje.
<?php if (($loginattempts_username > 2) || ($registered == FALSE) || ($loginattempts_total > 2)) { ?>


Jeg vil selv skrive det om så det passer bedre til mig, men jeg vil lige have originalen til at virke først.
Avatar billede DeeDawg Nybegynder
22. juli 2012 - 01:17 #5
Det er såmen ikke en fejl, men mere for at gøre dig opmærksom på at der bliver brugt fiktive variabler. Slår du error_reporting fra, vil disse meddelelser forsvinde, men det betyder ikke at du bare kan glemme alt om det. Før du prøver at bruge en variabel, bør du altid tjekke om den eksisterer først.

Derudover har jeg kun skimtet koden og den ser umiddelbart fin ud. Som du allerede ved, skal MySQLi eller lign. indføres, men jeg fandt også et andet problem. I authenticate.php omkring linje 287, tror personen bag dette script at han eliminerer session fixation ved at kalde session_regenerate_id(). Det er dog ikke tilfældet, eftersom den gamle data stadigvæk ligger på serveren, og derved giver en evt. hacker mulighed for at bruge det til at få adgang. Der skal kaldes session_regenerate_id(true), for at være sikker på at den gamle data fjernes. :)
Avatar billede Klaphattens Novice
27. august 2012 - 10:25 #6
Jeg lukker lige tråden

Clase og DeeDawg --> kan i ikke lige smide et svar.
Ellers lukker jeg den selv om et par dage.
Avatar billede claes57 Ekspert
27. august 2012 - 10:31 #7
bare luk uden mig...
Avatar billede Klaphattens Novice
04. september 2012 - 13:28 #8
Luk
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Webudvikling kurser
Vi tilbyder markedets bedste kurser inden for webudvikling
Se alle Webudvikling kurser

Flere spørgsmål fra PHP kategorien

Titel Indlæg Oprettet Seneste aktivitet
Hjælp til PHP ( mener jeg det hedder) Af lurup i PHP 0 12/09/202423:39 -
wp_delete_user virker ikke i Wordpress Af Ravnsen i PHP 2 21/08/202417:53 21/08/202422:03
php driller Af moscov i PHP 1 19/08/202415:09 20/08/202421:24
PHP alfabet Af John i PHP 4 10/08/202415:17 10/08/202417:47
Hent array key Af nemlig i PHP 3 17/05/202415:22 17/05/202416:30
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
57 min siden Xopslag der retunerer mindste værdi, dog ikke "nul" Af Tom K. i Excel
I dag 16:06 Opgavestyring Af ingeman i JavaScript
I går 13:35 NVIDIA Sheild Pro Af FCK i Musik & videoafspillere
I går 13:01 Undgå matriksformel? Af Dan Elgaard i Excel
13/0921:33 Ingen reaktion på Kraks Kort Af ErikHg i Søgemaskiner
White papers
Flere white papers »


Premium
Teaser billede
Sådan får hackerne med ny fidus adgang til dit system for kun 10 dollar: Næsten umuligt at beskytte sig
Læs mere »
Kommunernes it-forbrug stiger: Sådan har Odense Kommune holdt sine udgifter til it-licenser og it-konsulenter nede
Tidligere Cibicom-topchef Michael Meister har landet nyt job: Skal være administrerende direktør
Styrelse kom med tastefejl til at lægge tre år for meget på it-kontrakt til 350 millioner kroner
Se alle »
Computerworld
Teaser billede
iPhone 16 og 16 Pro slippes løs: Her er de to afgørende nyheder
Læs mere »
Om lidt går det løs: Så banebrydende bliver iPhone 16
Apple ændrer grundlæggende på den måde, som din iPhone skal opdateres på
Test: Her får du lynhurtig wi-fi 7 bredbånd til lavpris
Se alle »
CIO
Teaser billede
Nu kommer næste store version af Copilot
Læs mere »
Syv vigtige teknologier, som alle CIO'er bør forholde sig til - kommer til at sætte dagsordenen
Søstrene Grene skifter Microsoft ud med SAP og rykker for første gang i clouden i stor ERP-transformation
Microsoft har fundet 79 sårbarheder i Windows – du bør opdatere straks
Se alle »
Job & Karriere
Teaser billede
Pludselig exit fra Schultz kom som en overraskelse for Merete Søby: Derfor stoppede samarbejdet
Læs mere »
Merete Søby fratræder med omgående virkning som CEO for Schultz efter blot tre måneder på posten
Professor: "Det er på høje tid at opløse virksomhedernes it-afdelinger"
Kom tæt på Danmarks nye digitaliserings-minister: 33-årige Caroline Stage Olsen er tidligere tobaks-lobbyist - har været aktiv i politik siden hun var helt ung
Se alle »
White paper
Teaser billede
Guide: Sådan udvikler du en moderne netværksstrategi
Læs mere »
Det behøver ikke at gøre ondt: Sådan gør du livet lettere for kunder med multicloud
Whitepaper: Komplet sikkerhedsguide til Kubernetes
AI’s rolle i fremtidens projektledelse
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »