Sleep() in login

YVMdesign · 3 Maart 2010

Ik heb een login gemaakt voor me crime spel.

Ik heb ergens gelezen dat je sleep() kan gebruiken om brute-force tegen te gaan?

Login

PHP

require("config.php");


if (isset($_POST['submit']))
{
	// use sleep for anti brute-force
	sleep(1);
	
	$query = mysql_query("SELECT * FROM `Members` WHERE `nickname`='" .$_POST['nickname']. "'")
	
	if (empty($_POST['nickname']) OR empty($_POST['password']))
	{
		echo("You forgot something");
		header("Refresh: 5; url=index.php");
		die;
	}
	elseif (mysql_num_rows($query) == 0)
	{
		echo("This nickname exist.");
		header("Refresh: 5; url=index.php");
		die;
	}
	else
	{
		$query = mysql_query("SELECT * FROM `Members` WHERE `nickname`='" .$_POST['nickname']. "'");
		$result = mysql_fetch_assoc($query);
		
		if (md5($_POST['password']) == $result['password'])
		{
			echo("You are logged in, please wait 5 secondes.");
			$_SESSION['nickname'] = strtolower($_POST['nickname']);
			mysql_query("UPDATE `Members` SET `onlinetime`='"  .time(). "' WHERE `nickname`='" .strtolower($_POST['nickname']). "'");
			header("Refresh: 5; url=index.php");
			die;
		}
		else
		{
			echo("Wrong password.");
			header("Refresh: 5; url=index.php");
			die;
		}
	}
}

Toon Meer

Heeft iemand nog beveiligings tips?

Met vriendelijke groet,
Youri

Maaark · 3 Maart 2010

Sleep gebruik je om het bruteforcen te vertragen, niet helemaal om het te stoppen, daarnaast beveilig de posts maar eens.. daar heb je denk ik meer aan

YVMdesign · 3 Maart 2010

De inputs beveiligt.

PHP

require("config.php");


if (isset($_POST['submit']))
{
	// use sleep for anti brute-force
	sleep(1);
	
	// with mysql_real_escape_string
	$nickname = mysql_real_escape_string($_POST['nickname']);
	$password = mysql_real_escape_string($_POST['password']);
	
	$query = mysql_query("SELECT * FROM `Members` WHERE `nickname`='" .$nickname. "'")
	
	if (empty($nickname) OR empty($password))
	{
		echo("You forgot something");
		header("Refresh: 5; url=index.php");
		die;
	}
	elseif (mysql_num_rows($query) == 0)
	{
		echo("This nickname exist.");
		header("Refresh: 5; url=index.php");
		die;
	}
	else
	{
		$query = mysql_query("SELECT * FROM `Members` WHERE `nickname`='" .$nickname. "'");
		$result = mysql_fetch_assoc($query);
		
		if (md5($password) == $result['password'])
		{
			echo("You are logged in, please wait 5 secondes.");
			$_SESSION['nickname'] = strtolower($nickname);
			mysql_query("UPDATE `Members` SET `onlinetime`='"  .time(). "' WHERE `nickname`='" .strtolower($nickname). "'");
			header("Refresh: 5; url=index.php");
			die;
		}
		else
		{
			echo("Wrong password.");
			header("Refresh: 5; url=index.php");
			die;
		}
	}
}

Toon Meer

Superior · 3 Maart 2010

Je moet met SALT gaan werken wil je bruteforce en rainbowtable tegen houden.

Tevens ga ik met Maaark zijn reactie mee, je inputs zijn zo onveilig.

Maaark · 3 Maart 2010

Inderdaad is salten ook een ding wat verbeterd kan worden.
Daarnaast zou ik er ook een trim(); en strip_tags(); omheen gooien zodat de kans op XSS kleiner is

YVMdesign · 3 Maart 2010

zo toch niet weer wat moet ik nog meer toepassen dan?

mysql_real_escape_string

is toch genoeg?

Superior · 3 Maart 2010

YVMdesign
mysql_real_escape_string() is inderdaad genoeg, is verder niks voor nodig.

Alleen je wachtwoorden zijn nu heel erg zwak, md5() is online al een decryptie te vinden.
Zou dus met een SALT werken dat is heel stuk veiliger ook voor je leden

Maaark · 3 Maart 2010

Die houd in 't algemeen sql injections eruit. Html injections (XSS) kun je bovenstaande voor gebruikten, die trim is vooral omdat ik mij kapot erger op site's die spatie's in hun wachtwoordvergeten mail achter het wachtwoord hebben staan en copy pasten kut gaat..

YVMdesign · 3 Maart 2010

Wat doet de trim functie precies, ik word niet wijzer van php.net?

En van andere tuts ook niet echt.

Darsstar · 3 Maart 2010

trim() haalt wittekens aan het begin en eind van de string weg.
Ook kun je nog een tweede parameter mee geven wat een string is die alle andere tekens bevat die je ook weg wilt hebben.

Superior · 3 Maart 2010

Edit:
Darsstar was weer eens sneller :p

YVMdesign · 3 Maart 2010

Ok dankje,

Moet ik nog wat dingen beveiligen voor een goede login?

Maaark · 3 Maart 2010

Trouwens @ line 22: this nickname exist Moet dat niet zijn This nickname doesn't exist?

YVMdesign · 3 Maart 2010

Ja dat moet ja, verkeerd gezien :x

Dankje.

Maaark · 3 Maart 2010

Daarnaast ook die backticks weghalen in je query's

YVMdesign · 3 Maart 2010

Waarom moet dat??

Zo word het overzichtelijker?
Lijkt mij.

Maaark · 3 Maart 2010

http://wiki.phpfreakz.nl/Backticks

YVMdesign · 3 Maart 2010

Dus moet het zo doen?

PHP

$query = mysql_query("SELECT * FROM Members WHERE nickname='" .stripslashes($nickname). "'");

Maaark · 3 Maart 2010

Wat heb je dan nu bij $nickname = ?
Daarnaats ook slim om niet alles van Members te selecten maar alleen wat je nodig hebt.

Superior · 3 Maart 2010

Dus niet voor elke query een wildcard gebruiken (dus * )

Voorbeeld:

PHP

//Ik moet hebben: gebruikersnaam, wachtwoord & email


mysql_query("SELECT login,pass,email FROM Members WHERE...");

Dat is wat Maaark in feite bedoelt :cheer:

Partner Gezocht om meerdere NFT Collecties op Open Sea te Plaatsen

Plesk installer

cpanel / whm themes

PHP Point of Sale

Probleem omtrent Tinymce

Kunnen jullie mij helpen met deze enquete

een eigen cloud sever

Probleem C++ en CL

228 Nieuwe domeinnamen Maart 2025

285 Nieuwe domeinnamen Februari 2025

190 Nieuwe domeinnamen Januari 2025

Sleep() in login

Participate now!

Fijne feestdagen

Kritieke update voor Really Simple Security-plug-in

ING Nederland streeft naar ondersteuning van Google Pay tegen eind februari

Functioneel ontwerp

Access Control List implementatie in PHP/MySQL - deel 1/2

Access Control List implementatie in PHP/MySQL - deel 2/2

Delen