Online Notepad

[Tijme]

Beste,


Ik heb een online notepad gemaakt met een inlog systeem. Ik zou graag willen weten of het systeem veilig is.

Het is in php geschreven en de enige echte beveiliging die ik tot nu toe gebruik is mysql_real_escape_string
ereg_replace ( voor gebruikersnamen etc "Tegen sql injectie" )
de wachtwoorden worden gecrypt in sha1 met salt

Dit is de site.
http://tinyurl.com/6pkzdnf

Mvg,
Tijme

 

[ivanjacob]

ik weet niet zoveel van php, maar zeker mooi gemaakt!:thumb:

 

[Tijme]

dankje

 

[That Guy]

Je mist een DOCtype.


*edit* misschien ook een goed idee om op de homepage te vermelden dat je data niet wordt opgeslagen tenzij je inlogt.

 

[Tijme]

Je mist een DOCtype.

waar moet ik dit precies neerzetten?

ik heb boven aan de pagina config geinclude enz, en als ik het erbij zet geeft hij een error

 

[That Guy]

Eh, dat staat altijd als 1e in je HTML. Zie hier.

 

[Tijme]

Als ik dat doe geeft hij deze error,

Warning: session_start() [function.session-start]: Cannot send session cache limiter - headers already sent (output started at /home/tgwebde/domains/tg-webdevelopment.nl/public_html/notation/index.php:3) in /home/tgwebde/domains/tg-webdevelopment.nl/public_html/notation/index.php on line 5

 

[That Guy]

Zoals ik zei is het het eerste html element. Je moet eerst je PHP headers (en session) sturen, en dan pas de HTML. Dus:

<?php

   header('...');

   session_start();

?>
<!doctype .... />

<html>

   <head>

etc.

 

[Tijme]

ok ik het het er nu instaan dankje!

 

[MartinJM]

Waarom stuur je het ip-adres nog apart mee? Dat kan je ook later opvragen met PHP...
Dat voorkomt ook dat mensen met een eigen gekozen ip-adres in kan loggen...

Als je inlogt met een niet-bestaand account krijg je totaal geen reactie. Je krijgt gewoon een witte pagina te zien en dat is alles.

Als je registreert dan zijn de labels bij de textboxen niet goed te lezen. (zwart op donkergrijs)

Waarom staat dit onderaan als je bent ingelogd???

Error: Geen fouten gevonden!

Om te kunnen zien of je systeem veilig is, zouden we moeten proberen het te kraken of de code kunnen bekijken. Dat eerste gaat niet, dat vindt je webhost niet fijn... Dat 2e houdt in dat je je code online zou moeten zetten, wat natuurlijk ook niet ideaal is...

Maar hier moet je wel op letten:

Zorg dat je op iedere pagina dit gebruikt:

session_regenerate_id();

Check op iedere pagina of het ip-adres en/of de useragent hetzelfde is als bij het inloggen.


Ik heb er ook eens een vraag over gesteld die je hier kan vinden: http://www.helpmij.nl/forum/showthread.php/645935-Inlogsysteem-check. Die code heb ik ondertussen wel een beetje veranderd, maar het is een goed begin...

Succes!:thumb:


*EDIT*
Mijn codes zijn wat headers en DOCtypes ook niet netjes, maar dat kan je zelf dan nog wel veranderen....

 

[Tijme]

Ik wist zelf niet van die witte pagina, dat ga ik meteen even verbeteren.

Het ip kan niet veranderd worden, de witte pagina komt er omdat het ip niet gelijk is aan het ip dat meegestuurd word met het ip van het login form. ( Ik moet dus nog even rederecten naar de home page en een error laten geven als dit gebeurt )
Ik zal de kleuren ook nog even veranderen, ( Op mijn scherm kun je ze goed lezen maar dit verschilt natuurlijk per beeldscherm ).

De error onderaan de pagina is alleen even voor mijzelf om te kijken of alles werkt, dit zal later dus weg gehaalt worden.


Als ik het goed gelezen heb is session_regenerate_id() dus om de sessions een andere id te geven? ( Teminste,,, in die richting )
maar voorkomt dit dan session hijacking? of iets anders?.


Ik zal ook nog even naar jou codes kijken,

Bedankt voor alle tips

 

[MartinJM]

Waarom stuur je het ip dan alsnog mee?? Als je toch nog eerst checkt of het klopt???

session_regenerate_id() will replace the current session id with a new one, and keep the current session information.

Komt van php.net.
Ik zag de tip dat je dit moest gebruiken met de uitleg erbij, maar de uitleg was ik alweer vergeten...

Succes!:thumb:

 

[Tijme]

het ip mee sturen heeft inderdaad geen zin, en staat er totaal overbodig. Ik zal het wel een keer weghalen, aangezien het ook niet uitmaakt als het blijft staan. ik heb nu ook session_regenerate_id() boven elke pagina ( Die sessions gebruikt ) staan


Weer bedankt voor de uitleg

 

[CorDis]

Vanaf het moment dat je het einde van de textarea bereikt, verplaatst alles omhoog waardoor de uitlijning niet meer klopt.
Misschien een idee om het notepad formulier mee te laten schuiven, of iets in die richting....

Voor de rest ziet het er mooi uit, een paar features die ik nog kan verzinnen zijn: Meerdere notities en autosave systeem.

 

[Tijme]

Ik ben al aan een nieuwe versie begonnen. Mooier design, en er komt natuurlijk ook een autosave system in. Ik weet nog niet hoe ik de achtergrond kan laten verschuiven in een textarea.

 

[erten]

doe zo voort ik vind het leuk