Vinnaren i pepparkakshustävlingen!
  • 1
  • 2
2010-03-05, 18:08
  #13
Medlem
gadzooxs avatar
Citat:
Ursprungligen postat av Sweetiepie
Kod:
$newpw = md5($password) . 'dsadsalkdlsa_din_påhittade_hash_dasdsadsadsa';
Du menar väl
Kod:
$newpw md5($password 'dsadsalkdlsa_din_påhittade_hash_dasdsadsadsa'); 


Edit: Ett hårdkodat salt är visserligen bättre än inget alls, men säkrare är nog att vid ett enskilt lösenordsbyte slumpa fram ett salt och lagra det tillsammans med den saltade hashen, typ inserta ett salt av given längd någonstans mitt i hash-strängen. Då blir det lätt att gräva ut saltet med substr() för att kunna hasha och jämföra det inmatade lösenordet, medan det blir svårt att veta vad som är salt och vad som är saltad hash om man kommer över en db-dump. Om man insertar saltet på positionen strlen($password) krävs det även att man känner till längden på rätt password för att hitta saltet.
__________________
Senast redigerad av gadzoox 2010-03-05 kl. 18:26.
Citera
2010-03-05, 22:58
  #14
Medlem
Har nu kört fast igen. Ska som sagt ha en inloggning för två typer av användare (egentligen är meningen att kolla om man är inloggad, är man det, visas sidan) och därefter visas admin-funktioner om användaren har tillgång till det.
Fick i alla fall hjälp av en polare, i alla fall en bit på väg, men jag har inte fått det att fungera helt.

Kod:
if (isset($_SESSION['user'])){
    include (
"connect.php");
    
$user $_SESSION['user'];
    
$result mysql_query("select id,username from user where username = $user",$dbi);
    while (
$myrow mysql_fetch_array($result)){
        
$id $myrow[0];
        
$checksession $_SESSION['checksum'];
        
$checksum md5($user $id);
        if (
$checksum !== $checksession){
            
header ("Location: loginreq.php");
        }
        else{
        }
    }


Sidan visas trots att man inte är inloggad och inte har någon session. :\ Förslag?
Citera
2010-03-06, 00:25
  #15
Medlem
your_kings avatar
Kod:
<?php
session_start
();

if ( ! 
$_SESSION['user']){
    
header("Location: login.php"); // Skickas till inloggningen
    
exit();
}
?>

Högst upp på på sidan du inte vill att ej inloggade skall se.
Citera
2010-03-07, 21:39
  #16
Medlem
xid0ns avatar
Om du ej kollar input är de bara en tidsfråga innan du får någon som sql injekterar dig hemsida
Citera
2010-03-07, 23:08
  #17
Medlem
en liten tips använd mysql_real_scape_string
Citera
2010-03-08, 00:12
  #18
Medlem
Ännu ett tips, kika på att använda SHA128 eller SHA256 istället för md5, de är något starkare. Sedan kan det vara en bra idé att köra med prepared statements istället för att öka på säkerheten lite

-Data33
Citera
  • 1
  • 2

Stöd Flashback

Flashback finansieras genom donationer från våra medlemmar och besökare. Det är med hjälp av dig vi kan fortsätta erbjuda en fri samhällsdebatt. Tack för ditt stöd!

Stöd Flashback