On Wed, 24 Jul 2002 19:16:11 +0200, "Jeppe Vesterbæk"
<jhv38731[REMOVE-XXXXXXXXXX]@but.auc.dk> wrote:
>Lige et spørgsmål om sikkerhed.
>
>I en mySQL database har jeg info om brugere (incl password ukrypteret)
>lagret.
Jeg plejer altid at MD5'e passwordet ... Så er det mere sikkert efter
min mening ... og hvis så brugeren ikke kan huske sit gamle så laver
man et nyt til ham også sender det pr mail eller noget lign
>
>Når en bruger skal logge ind, foregår det via en form, hvor jeg kører
>addslashes() på indholdet fra de 2 inputbokse (m. henholdsvis brugernavn og
>password).
Her plejer jeg at lave alle kodeord og navne til småt med strtolower
fordi at hvis man fx logger ind med ole men der i virkeligheden står
OLE i databasen, ja så går det galt
fx
$navn = "OLE";
$password = "OLEBOLE";
$insert = "
INSERT INTO
tabel
VALUES
(
'".addslashes(strtolower($navn))."',
'".addslashes(strtolower(md5($password)))."'
)
";
$sql = mysql_query($insert);
Sådan plejer jeg at gøre, om det giver mere sikkerhed ved jeg ikk
MEN man kan ihvertfald ikk snyde med passwordsne (og du kan ikke se
andres password)
og ved et tjek login ... så er det jo også simpelt
$check = "
SELECT
*
FROM
tabel
WHERE
password_række = '".addslashes(strtolower($navn))."'
AND
loginnavn_række = '".addslashes(strtolower(md5($password)))."'
";
$sql = mysql_query($check);
>Findes der en post m. brugernavn + password, sætter jeg et par sessions,
>f.eks. $_SESSION['adgang'] som angiver brugerens adgangsniveau.
>
>På sider jeg så gerne vil beskytte bruger jeg:
>if (!isset($_SESSION['bruger'])) redir();
>//redir() er blot en hjemmelavet funktion jeg bruger til at redirecte.
Jeg ville nok lave en funktion som tjekkede om brugernavnet virkelig
findes i databasen, ved ikk hvorfor, men såen er jeg bare
>Undskyld alle spørgsmålene
Det gør det kun sjovere
>/Jeppe
>