Sleep() in login

Maaark · 3 Maart 2010

Ja inderdaad, alleen ben ik wat te lui om alles netjes erneer te zetten... Daarnaast is een LIMIT ook handig om erin te hebben, scheelt weer een beetje.. (alle beetjes helpen heaaa)

YVMdesign · 3 Maart 2010

Wat kan je beter gebruiken?

PHP

if ($_SERVER['REQUEST_METHOD'] == 'POST')
{

of dit

PHP

if (isset($_POST['submit']))
{

Maaark · 3 Maart 2010

Bovenste

YVMdesign · 3 Maart 2010

Dankje :cheer:

Maaark · 3 Maart 2010

Post je na afloop ook je gehele script nog eens?
Hebben andere leden er ook nog wat aan

YVMdesign · 3 Maart 2010

Ik heb dit tot nu toe.

PHP

require("config.php");


if ($_SERVER['REQUEST_METHOD'] == 'POST')
{
	// use sleep for anti brute-force
	sleep(1);
	
	// with mysql_real_escape_string
	$nickname = mysql_real_escape_string($_POST['nickname']);
	$password = mysql_real_escape_string($_POST['password']);
	
	$query = mysql_query("SELECT nickname FROM Members WHERE nickname='" .stripslashes($nickname). "'");
	
	if (empty($nickname) OR empty($password))
	{
		header("Refresh: 5; url=index.php");
		die("You forgot something.");
	}
	elseif (mysql_num_rows($query) == 0)
	{
		header("Refresh: 5; url=index.php");
		die("This nickname doesn't exist.");
	}
	else
	{
		$query = mysql_query("SELECT nickname, password, onlinetime FROM Members WHERE nickname='" .stripslashes($nickname). "'");
		$result = mysql_fetch_assoc($query);
		
		if (md5($password) == $result['password'])
		{
			$_SESSION['nickname'] = $nickname;
			mysql_query("UPDATE Members SET onlinetime='"  .time(). "' WHERE nickname='" .addslashes($nickname). "'");
			header("Refresh: 5; url=index.php");
			die("You are logged in, please wait 5 secondes.");
		}
		else
		{
			header("Refresh: 5; url=index.php");
			die("Wrong password.");
		}
	}
}

Toon Meer

Misschien nog wat opmerkingen??

Maaark · 3 Maart 2010

Je zou bijvoorbeeld LIMIT er nog in kunnen verwerken en zoals ik al zei trim.
En van de bovenste query niet nickname maar id ofzo selecten, die is wat kleiner.

YVMdesign · 3 Maart 2010

Trim erin verwerkt

Wat bedoel je met LIMIT? (voorbeeld misschien?)

PHP

elseif (trim($nickname) OR trim($password))
	{
		header("Refresh: 5; url=login.php");
		die("Invalid input.");
	}

Zo toch?

Maaark · 3 Maart 2010

PHP

$query = mysql_query("SELECT nickname, password, onlinetime FROM Members WHERE nickname='" .stripslashes($nickname). "' LIMIT 1");

Darsstar · 3 Maart 2010

Spoiler/waarschuwing:
Ik ga boos op je worden, mogelijk wil je dit bericht niet lezen.

Ok...
*wordt boos*
stripslashes()?
*wordt bozer*
Wat heeft stripslashes in Ori's naam met backticks te maken?
Je bent nu mysql_real_escape_string() ongedaan aan het maken!
*is behoorlijk boos*
Verder heb ik zelf niets tegen backticks.
Wel is het zo dat je reserved keywords zoveel mogelijk (altijd eigenlijk) moet vermeiden.
Dat ga je dus onmiddellijk ongedaan maken, begrepen!?!

Waarom al een query uitvoeren voordat je zelfs maar de input hebt gechecked?
Kijk eerst of een of meer velden niet ingevuld zijn, en ga dan pas een query sturen naar de database.
Ook kan de wachtwoord controle makkelijk in de query geplaatst worden.

edit:
verder wil je trim() binnen empty() zetten...
nu wordt je doorgestuurd als je het formulier juist wel invuld...

Axl_H · 4 Maart 2010

[offtopic] Darsstar: denk aan je bloeddruk:P[/offtopic]

Je kan bij je md5 ook dit er van maken:

PHP

<?php 


md5(sha1($_POST['veld dat je post']));


?>

Darsstar · 4 Maart 2010

Axl_H
Zo creëer je alleen maar meer collisions.
Het wordt wel veiliger door het volgende:

PHP

<?php 


$hash = md5($_POST['veld dat je post']).sha1($_POST['veld dat je post']);


?>

Kunnen jullie mij helpen met deze enquete

PHP Point of Sale

een eigen cloud sever

Probleem C++ en CL

Unraid

Smarty Update

DNS update Directadmin

Graag advies voor mijn website

252 Nieuwe domeinnamen November 2024

Evesi Marktplaats Script

265 Nieuwe domeinnamen Oktober 2024

Sleep() in login

Participate now!

Kritieke update voor Really Simple Security-plug-in

ING Nederland streeft naar ondersteuning van Google Pay tegen eind februari

Het Belang van Standaardisatie

Functioneel ontwerp

Access Control List implementatie in PHP/MySQL - deel 1/2

Access Control List implementatie in PHP/MySQL - deel 2/2

Delen