Login script

[jic]

Hei jeg har prøvd å lage en login script med sessions og får det ikke til.

 

Har dere noen enkle login script med sessions, som er lett å redigere. Og som kan brukes lett til chatbox, og hurtig svar i forums.

 

Takk på forhånd.

[jic]

Ingen som kan hjelpe meg:(

[sven-o]

Jeg har et. Kun én bruker(admin) og enkel i bruk. brukernavnet og passordet lagres som klarteks variabler, så det er ikke 100% sikkert, men det funker. Bare du er forsiktig.

[sven-o]

Trenger bare et par timer påsøndag for å refaktorere det litt, så kan jeg sende deg det. PM mail-adressen din, så sender jeg deg når det er ferdig.

[BlueEAGLE]

Jeg bruker phpSecurePages til alle mine passord-behov. Jeg synes det fungerer utmerket.

[sven-o]

Jeg bruker phpSecurePages til alle mine passord-behov. Jeg synes det fungerer utmerket.

Den så jo ganske snasen ut. Hvordan får man lagt til brukere? Kikket litt på siden, men fant ikke noen form for admin-greie.

En annen ting er at den sender passordet i klartekst, men det kan jo fikses.

[Cucum(r)]

blir det slik http://www.dinadresse.com/side.php?passord=DITTPASSORD ??

 

Da har du jo bare brukt $_GET istedet for $_POST...

[sven-o]

blir det slik http://www.dinadresse.com/side.php?passord=DITTPASSORD ??

 

Da har du jo bare brukt $_GET istedet for $_POST...

Hva snakker du om egentlig? Jeg vet da forskjell på post og get. Klartekst betyr at det ikke blir kryptert! Passord bør krypteres før de sendes av klienten. Dette er helt vanlig.

[jorgis]

Er vel ikke værre å legge til noe md5($pass); eller noe sånt.

[sven-o]

Er vel ikke værre å legge til noe md5($pass); eller noe sånt.

Nærmer seg.

Md5 er ikke en innebygget funksjon i javascript, og vi ønsker å kryptere passordet før det sendes fra klienten.

[jorgis]

I javascript? Trodde vi holdt på i PHP-forumet...

[sven-o]

I javascript? Trodde vi holdt på i PHP-forumet...

Huffda... Håper for din skyld du var ironisk..

[jorgis]

I javascript? Trodde vi holdt på i PHP-forumet...

Huffda... Håper for din skyld du var ironisk..

?

 

Du håper for min skyld at jeg var ironisk?

[Torbjørn]

Jeg vil påstå at du tar helt feil hvis du sier at det er helt vanlig at passordet sendes kryptert fra klienten. Ikke bra å ha sider som er avhengig av javascript for å fungere.

 

EDIT: Jeg regner med du hadde sagt fra i "det kan jo fikses"-posten din hvis du mente SSL kryptering (noe som ikke lett kan fikses for hvermansen)

Endret 2. februar 2004 av Torbjørn

[Cucum(r)]

Du klarer jo ihvertfall ikke å bruke php til å kryptere et passord FØR det kommer til serveren...

[sven-o]

I javascript? Trodde vi holdt på i PHP-forumet...

Er det sånn at dersom vi snakker om generell sikkerhet i php, så er det ikke lov å dra inn klientspråk for å øke bevisstheten rundt emner som ikke kan dekkes sv serverspråk?????? DERFOR håpet jeg du var ironisk!

Jeg vil påstå at du tar helt feil hvis du sier at det er helt vanlig at passordet sendes kryptert fra klienten. Ikke bra å ha sider som er avhengig av javascript for å fungere.

Hvor vanlig det er gidder jeg ikke bruke tid på å diskutere. Jeg har sett det mange steder. Om jeg ikke har tilgang til ssl på serveren jeg bruker, vil jeg alltid benytte meg av md5/sha1 når jeg skriver skript.

Det er altfor lett å snappe opp passord, ihvertfall hvis du sitter på et nettverk. DET kan ikke diskuteres. Det er bare opp til deg hvor "glad" du er i passordet ditt.

[????????]

Er vel ikke værre å legge til noe md5($pass); eller noe sånt.

Nærmer seg.

Md5 er ikke en innebygget funksjon i javascript, og vi ønsker å kryptere passordet før det sendes fra klienten.

Hvorfor vil du kryptere det før det blir send?

Hvis det er så stor sjanse for at noen "lytter" på trafikken burde du absolutt vurdere SSL.

Så lenge du ikke lagrer det ukrypterte passordet noen steder så brude det ikke være noe stort problem.

 

EDIT:

 

Torbjørn:

Jeg vil påstå at du tar helt feil hvis du sier at det er helt vanlig at passordet sendes kryptert fra klienten. Ikke bra å ha sider som er avhengig av javascript for å fungere.

 

Det er veldig skjelden å se noen scripts som er avhengig av JavaScript - og spesielt ikke for en funksjon som å logge inn!

Endret 2. februar 2004 av ????????

[sven-o]

Er enig i det, MEN dersom du allikevel skal lagre et kryptert passord koster det deg lite å kryptere det før det sendes!

 

Torbjørn: Dette gjør IKKE scriptet ahengig av javascript. Du kan lett detektere om javascript er enablet, og dersom det ikke er det kan passordet krypteres på serversiden!

[????????]

Er enig i det, MEN dersom du allikevel skal lagre et kryptert passord koster det deg lite å kryptere det før det sendes!

 

Torbjørn: Dette gjør IKKE scriptet ahengig av javascript. Du kan lett detektere om javascript er enablet, og dersom det ikke er det kan passordet krypteres på serversiden!

"koster" det ikke mindre å kryptere det i php?

 

$var = md5($var);

 

Så slipper du å lage noen funksjon i javascript for å kryptere den.

[Torbjørn]

jeg har aldri hørt om passord som sendes kryptert fra et loginskjema engang... ikke at jeg har sjekket source på samtlige jeg har brukt, men det har som regel gått over en SSL forbindelse hvis det først er såpass hemmelighetsfullt, har du noen eksempler, sven-o?