Archief - PHP: Veilig inloggen zonder database

Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.

Jellepunk

Legacy Member
Ik denk dat mijn titel al genoeg zeg, Hoe kan ik 1 persoon laten inloggen zonder een database te gebruiken.

Ik had gedacht om een txt bestandje te schrijven en de gebruikersnaam en het paswoord in dat bestand op te slaan via sha1 en daartussen wat woorden zetten, die ook via sha1 gecodeerd zijn. en via substring het paswoord ervan tussen halen zodat mensen niet kunnen de file downloaden en zo het paswoord en gebruikersnaam ervan tussen halen.

Het gaat over een fotoalbum waar maar 1 admin bij nodig is en daarmee denk ik dat een database gebruiken wat overbodig wordt en ook minder gemakkelijk voor iemand anders op de server te zetten.

Hopelijk is dit geen dom idee, maar beter zijn zeker welkom

Jellepunk

Legacy Member
maatje zei:
arrays gebruiken ;)

met een array kan je toch niet je paswoord wijzigen? dan zou je moeten je php pagina aanpassen wat de gebruiksvriendelijkheid toch wat verminderd

wxphe

Legacy Member
Jellepunk zei:
Het gaat over een fotoalbum waar maar 1 admin bij nodig is en daarmee denk ik dat een database gebruiken wat overbodig wordt en ook minder gemakkelijk voor iemand anders op de server te zetten.

Hopelijk is dit geen dom idee, maar beter zijn zeker welkom

Database is nog altijd het beste.
Overbodig :oink: ? Hoe ga je je fotoalbum beheren? Mss daarvoor ook een db gebruiken.

Maar blijkbaar is het niet enkel voor uzelf en voor "anderen", tjah als je het makkelijk wilt maken voor hen, staat je een lange (en leuke) taak te wachten.

killgore

Legacy Member
uw script altijd zo algemeen mogelijk schrijven

want anders kom jij binnen 2 weken met het probleem: oei, nu heb ik eigenlijk 2 admins nodig :x.

Jellepunk

Legacy Member
zabulus zei:
htaccess is mss ook een makkelijke optie?

jup daar ben ik wel voor te vinden

Overbodig :oink: ? Hoe ga je je fotoalbum beheren? Mss daarvoor ook een db gebruiken.
fotoalbum beheer ik zonder database, maar door de mappen uit te lezen en zo verder.

edit: database is toch niet bedoeld voor afbeeldingen, maar voor data, denk ik toch :unsure:
Maar blijkbaar is het niet enkel voor uzelf en voor "anderen", tjah als je het makkelijk wilt maken voor hen, staat je een lange (en leuke) taak te wachten.
Het admin paneel is al volledig af, als je wil kan ik je wat screens sturen

wxphe

Legacy Member
Jellepunk zei:
fotoalbum beheer ik zonder database, maar door de mappen uit te lezen en zo verder.

edit: database is toch niet bedoeld voor afbeeldingen, maar voor data, denk ik toch :unsure:

Het admin paneel is al volledig af, als je wil kan ik je wat screens sturen

Idd niet voor de afbeeldingen, maar als ik je plannen hoor qua "anderen" vermoedde ik extraatjes zoals, datum van toevoeging, naam, omschrijving, categorie, etc ....

Dan komt db van pas, twas maar voorstel voor een beter idee é :niceone:

greetz wxphe

Jellepunk

Legacy Member
wxphe zei:
Idd niet voor de afbeeldingen, maar als ik je plannen hoor qua "anderen" vermoedde ik extraatjes zoals, datum van toevoeging, naam, omschrijving, categorie, etc ....

Dan komt db van pas, twas maar voorstel voor een beter idee é :niceone:

greetz wxphe

nja, je redenering klopt wel, maar voor categoriën kan ik met submappen werken, comment en datum, zou eventueel wel in een database kunnen, maar nu is dat nog niet van toepassing, v0.8 ;)

nuja, blijkbaar gebruik ik toch best een database, geen probleem, maar ik had het graag anders gehad.

Bedankt

Radiance

Legacy Member
Als je graag wegblijft van database servers overweeg dan SQL Lite.
Enfin en niemand houd u tegen van flatfile configuratie he, het kan prima zoals je voorstelt, maar niet erg gebruiksvriendelijk voor jou.

Jellepunk

Legacy Member
Radiance zei:
Als je graag wegblijft van database servers overweeg dan SQL Lite.
Enfin en niemand houd u tegen van flatfile configuratie he, het kan prima zoals je voorstelt, maar niet erg gebruiksvriendelijk voor jou.

uhu, maar ik heb nu met een database gewerkt, maar het is idd niet zer gebruiksvriendelijk voor mij, en na verloop van tijd zou ik wel raar kijken wat ik heb gedaan.
maar ik vroeg me gewoon af hoe je met een textbestand (of flatfile gelijk gij da noemt) veilig kan werken, want ze hebben het maar te vinden, te downloaden en om te zetten en ze kunnen binnen. voor een foto album is da nog geen zo'n drama maar het gaat meer over het principe.
ik ga eens zien wat sql lite is maar nu heb ik met een mysql tabelletje gewerkt en het lukt ook, ik had het gewoon liever anders gezien.
Nuja, mijn .htaccess bestand geeft ook nog problemen op andere servers, dus moet ik daar ook nog even naar kijken want zonder AllowOverride All kan ik er ook geen weg mee.

killgore

Legacy Member
wel

ge slaat uw pass op in php code ipv .Txt

en als ze de .php proberen downloaden (tenzij ze uw ftp hacken offcourse) dan krijgen ze geparsete versie zonder uw pass.

dus ipv naar uw tekstbestand "pass" weg te schrijven schrijfde "<?php $pass="pass"; ?>" weg en zorgde dat het bestand .php noemt.

Jellepunk

Legacy Member
killgore zei:
wel

ge slaat uw pass op in php code ipv .Txt

en als ze de .php proberen downloaden (tenzij ze uw ftp hacken offcourse) dan krijgen ze geparsete versie zonder uw pass.

dus ipv naar uw tekstbestand "pass" weg te schrijven schrijfde "<?php $pass="pass"; ?>" weg en zorgde dat het bestand .php noemt.

mja, kan ik ze dan aanpassen ook? kan ik een php bestand via fopen eigenlijk editten? eignelijk nog nooit geprobeerd

killgore

Legacy Member
Jellepunk zei:
mja, kan ik ze dan aanpassen ook? kan ik een php bestand via fopen eigenlijk editten? eignelijk nog nooit geprobeerd
en waarom zou dat niet gaan :p?

Hoe denk jij dat die installers van pakweg phpbb werken?

Jellepunk

Legacy Member
nja, ik heb er geen ervaring mee, kben nog maar 2/3 maand bezig met php. Bedankt voor de oplossing ik zal het zeker proberen en laten weten en of het gelukt is.

babbelut

Legacy Member
en pass in md5? dan moge ze nog de file onderscheppen, dan vinde ze het pass nog ni :)

killgore

Legacy Member
babbelut zei:
en pass in md5? dan moge ze nog de file onderscheppen, dan vinde ze het pass nog ni :)
op het moment dat ze die file (een .php) kunnen onderscheppen & het pass kunnen lezen doet dat er tbh nie veel toe, want dan kunnen ze zeer wrsch heel je code downen.

Die md5 zou enkel goed zijn om je pass niet te weten laten komen (voor bv. andere sites waar je die gebruikt)

babbelut

Legacy Member
ze zijn nix met heel je code ;)
als je je pass in md5 bewaart, of het nu in db of in een file is, ze gaan nooit je pass achterhalen en dus ook nooit kunnen inloggen :)

killgore

Legacy Member
babbelut zei:
ze zijn nix met heel je code ;)
als je je pass in md5 bewaart, of het nu in db of in een file is, ze gaan nooit je pass achterhalen en dus ook nooit kunnen inloggen :)
en waarom zouden ze niets zijn met heel je code?

Hij slaat niets op in db, dus ALLE vitale informatie zal in tekst/php bestanden zitten -> maw, bestanden die de hacker al kan ophalen.

Of dachte dat het hackers enkel te doen was van: "kijk, cool, ik kan op uw site!".

Dat inloggen is totaal onbelangerijk zodra ze aan de info kunnen ze :ironic:. Trouwens, als ze een .php unparsed kunnen afhalen is er een serieuze kans dat ze het unparsed ook kunnen uploaden & dus sowieso het login systeem hacken ;)!

babbelut

Legacy Member
een hacker die zo ver geraakt heeft twee mogelijke doelen: of alles naar de vaantjes helpen of iets doen met de info die hij vindt.
Als hij tot op de server kan inloggen, en de php's kan afhalen is er weinig met wat code tegen te doen :) dat probleem zit dan op serverniveau.
Dus als hij hier alle files delete, kan je daar met je php nix tege beginne.

Indien hij iets wil doen met de info die hij vind, is het dus trachten zoveel mogelijk "moeilijk bereikbaar" te maken. Dit bedoel ik dus met md5->
vaak hebben mensen voor elke site dezelfde paswoorden enzovoort, dus erg handig als die in md5 staan. Hij zal wel aan je info ivm paswoord kunne, maar er nix mee kunnen doen.
Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.
Terug
Bovenaan