Beste leden,
Ik zit met het volgende probleem:
Ik ben bezig met een online rpg game, alleen kan iemand door middel van cookies zichzelf admin maken en dus de site hacken. Weet iemand hoe iemand dit doet? Ik wil graag mijn spel online zetten, maar met deze slechte beveiliging durf ik dat niet aan.
De login.php van de site is hier te vinden: http://www.pastebin.be/548/
Als iemand me hierbij zou kunnen helpen, Graag!
- Beveiliging?
-
04-06-2006, 15:02 #1
- Berichten
- 318
- Lid sinds
- 19 Jaar
Beveiliging?
-
04-06-2006, 15:40 #2
- Berichten
- 70
- Lid sinds
- 18 Jaar
Cookie's zijn idd makkelijkte hacken, Je sessions gebruiken dat is bijna onmogelijk.
Ik heb je toegevoegt @ msn.Laatst aangepast door TimG : 04-06-2006 om 15:48
-
04-06-2006, 18:10 #3
- Berichten
- 318
- Lid sinds
- 19 Jaar
Ok bedankt, ik wacht af wanneer je online bent :)
-
04-06-2006, 20:36 #4
- Berichten
- 292
- Lid sinds
- 19 Jaar
Origineel gepost door Tim Goudriaan
Cookie's zijn idd makkelijkte hacken, Je sessions gebruiken dat is bijna onmogelijk.
Ik heb je toegevoegt @ msn.
Een sessionid komt ook ofwel in de URL (ook niet iets wat je echt wilt meestal) of in een cookie...
-
04-06-2006, 20:57 #5
- Berichten
- 28
- Lid sinds
- 18 Jaar
Met de cookies heb ik nog niet onderzocht, maar ik zie dat je zonder pardon userinput in de query zet:
mysql_query("SELECT * FROM `gebruiker` WHERE `login`='{$_POST['login']}' AND `pass`='{$_POST['pass']}'");
-
04-06-2006, 21:31 #6
- Berichten
- 292
- Lid sinds
- 19 Jaar
En met alleen cijfers en letters is het wel veilig? Ik denk dat je onder andere eens een blik moet werpen op mysql_real_escape_string().
-
05-06-2006, 07:19 #7
- Berichten
- 70
- Lid sinds
- 18 Jaar
session's zijn 100% veilig die kan je zelf niet bewerken (zonder php code). want die komen op de server terecht waar dus alleen de eigenaar bij kan.
-
05-06-2006, 08:28 #8
- Berichten
- 625
- Lid sinds
- 19 Jaar
Origineel gepost door Tim Goudriaan
session's zijn 100% veilig die kan je zelf niet bewerken (zonder php code). want die komen op de server terecht waar dus alleen de eigenaar bij kan.
-
05-06-2006, 09:08 #9
- Berichten
- 292
- Lid sinds
- 19 Jaar
Zeg je nu dat er totaal geen data op de client komt en alleen op de server, Tim? Dan zou ik nog eens goed lezen...
-
05-06-2006, 09:36 #10
- Berichten
- 318
- Lid sinds
- 19 Jaar
Tim is me nu iig erg goed aan het helpen :) Niks is 100 % veilig, maar voor de toepassing waarvoor het gebruikt wordt is het prima :)
-
05-06-2006, 11:53 #11
- Berichten
- 28
- Lid sinds
- 18 Jaar
Je kunt ook een cookie maken die alleen een hash opslaat van een aantal variabelen. Een hash maak je door bijvoorbeeld md5($ip_user . $current_time . $willekeurig_getal) te doen. Dan krijg je een code 32 cijfers/letters, deze zet je in een database en daar koppel je dan serverside wat dingen aan. Dan heb je sessies die je kunt bewaren.
Plaats een
- + Advertentie
- + Onderwerp
Marktplaats
Webmasterforum
- Websites algemeen
- Sitechecks
- Marketing
- Domeinen algemeen
- Waardebepaling
- CMS
- Wordpress
- Joomla
- Magento
- Google algemeen
- SEO
- Analytics
- Adsense
- Adwords
- HTML / XHTML
- CSS
- Programmeren
- PHP
- Javascript
- JQuery
- MySQL
- Ondernemen algemeen
- Belastingen
- Juridisch
- Grafisch ontwerp
- Hosting Algemeen
- Hardware Info
- Offtopic