Een php login systeem beveiligen

[stefanwizzard]

Hallo

Met php heb ik een paar keer een login systeem gemaakt. Dit login systeem zit simpel in elkaar:

1. inlog gegevens invullen
2. check_login.php filtert input zodat er geen mysql injection kan zijn.
2. check_login.php kijkt in mysql db of naam en wachtwoord kloppen.
3. check_login.php slaat naam en wachtwoord op in een sessie
3. check_login.php verwijst je door naar logged_in.php
4. je kan uitloggen en sessie wordt verwijderd

Nu mijn vraag, hoe kan ik mijn systeem beveiligen tegen hackers? Tegen mysql injection heb ik al beveiligd.

mvg
stefan

 

[arjan96s]

wachtwoord moet je eigenlijk niet opslaan in een sessie. gebruikersnaam is genoeg.
wachtwoorden moet je hashen.
dus:

<?php
$wachtwoord = "geheim";
$wachtwoord = sha1($wachtwoord);
echo $wachtwoord;
?>

Het wachtwoord is beveiligd (onherkenbaar).
doe mysql_real_escape_string bij ingevoegde dingen.

 

[stefanwizzard]

Bedankt voor je reactie, ik neem aan dat je de wachtwoorden geëncrypt moet opslaan in de database.
Zijn er nog meer dingen ter beveiligen?

 

[arjan96s]

dat bedoel ik inderdaad.
hier heb je een linkje±
http://www.visionears.nl/blogs/internet/uw-website-beveligen-tegen-hackers-website-beveiliging.html
staan alle valkuilen bijna op. als je eerst probeert aan de hand van deze dingen je systeem te hacken dan kun je het daarna beveiligen.

suc6 xd soms ff 5 keer lezen.

 

[stefanwizzard]

bedankt voor de link, ik zal hem doorlezen

 

[arjan96s]

ok suc6 duurt wel even denk ik.
sommige dingen beveilig je vanjezelf uit denk ik al.
toch is het wel handig om door te lezen.

 

[stefanwizzard]

ok suc6 duurt wel even denk ik.
sommige dingen beveilig je vanjezelf uit denk ik al.
toch is het wel handig om door te lezen.

De spoofed form heb ik al beveiligd, ik gebruik php validatie.