Archief - [PHP] Form Security

Joriz · 5 aug 2005

volgende situatie:

leden zouden data moeten invoegen: enkel a-z en 0-9 en speciale karakters:

is volgende beveiliging genoeg:

- regexpressies die checken op a-zA-Z0-9 en een aantal karakters die ik zelf bepaal
- posts
- referrer
- login met md5 encryptie

of zien jullie nog ergens grote gaten openliggen?

0n3Liner · 5 aug 2005

referer is geen goed idee, mensen met norton internet security bijvoorbeeld zullen je form al niet kunnen gebruiken

WHiSPy · 5 aug 2005

Referer kan je perfect in 'n sessie bijhouden, zodus dat is geen al te groot probleem.

Kijk ook een keer naar het challenge-response systeem. (zo ga je bv geen plain text paswoord over 't internet versturen: http://www.answers.com/topic/challenge-response)

Squall-sX- · 5 aug 2005

Voor dat challenge-response system (nog nooit van gehoord, maar ik gebruik het toch al, leuk he

): http://pajhome.org.uk/crypt/md5/
Hier kun je javascript afhalen om te hashen bij de client. Jij moet dan gewoon zorgen voor een javascript dat zorgt dat het paswoord samen met de random nummer gehashed wordt in een veldje. Of het paswoord laten hashen, random nummer toevoegen, en dan nog eens hashen en in't veldje plaatsen. Bij 't eerste moet je paswoord zonder beveiliging opslaan in de db, bij het tweede kun je het als MD5 opslaan in de db.

Joriz · 7 aug 2005

de paswoorden werden reeds via javascript md5 versleuteld en worden vervolgens pas naar de server doorgestuurd

Archief - [PHP] Form Security

Joriz

Legacy Member

0n3Liner

Legacy Member

WHiSPy

Legacy Member

Squall-sX-

Legacy Member

Joriz

Legacy Member