Sikkerhed

Kan det lade sig gøre at lave et login system hvor hackere ikke kan komme ind, på andres brugere...

Ja og nej. Du kan sikre et loginsystem så det bedste angreb er et brute-force angreb på brugernavn/password kombinationer.
Dette angreb kan så udføres af et stykke software der prøver mange kombinationer i sekundet. Hvis en angriber har tid nok vil denne altså komme ind.
Der er flere måder man kan gøre dette mere besværligt for en angriber:
- Efter X forgæves login forsøg fra en host blokeres denne i et stykke tid.
- Efter X forgæves login forsøg dukker der et billede op med bogstaver, som brugeren(angriberen) også skal indtaste. Dette bruges f.eks. af gmail.com - og forhindrer at et automatiseret værktøj kan udføre angrebet.

Men: I PHP er der jo mange andre ting du skal være opmærksom på.
Blandt andet:
- Du skal huske et escape input til dine SQL queries for at undgå SQL injection.
- Du må ikke inkludere filer hvor en del af filnavnet gives direkte af brugeren.
- Du må ikke udføre shell-kommandoer hvor en del af input gives af en bruger.
- Du skal huske at enkode alle HTML tags brugere kan give som input til dit site (Undgå cross-site scripting der kan stjæle login oplysninger)
- og så videre..
(Altså: Stol ikke på noget bruger-input)




Mvh,

Thomas Nielsen

Det er jo bare at registere en session, og derefter tjekke om en session er aktiv ?
www.php.net/session -> Der burde du kunne finde noget.

Er ikke helt sikker på hvad du mener med dit spørgsmål, men nej. Det kan ikke lade sig gøre at lave noget der er 100% sikkert.

takker
ser om der noget


-veile-
www.e-playcity.dk
Det er besøget hver!!

OK =D

Nej det kan du ikke...alle login systemer kan hackes ...(ironi)

-----BEGIN GEEK CODE BLOCK-----
Version: 3.12
GED d- s: a--- C++ U? P L+ E? W++ N? o? K- w
O? M? V? PS PE? Y? PGP++ t 5? X+ R tv+ b+ DI? D+
G e-- h! !r y--
------END GEEK CODE BLOCK------

jamen... kan det ikk sikkers så meget at det næsten er uoverksueligt at hacke det

-veile-
www.e-playcity.dk
Det er besøget hver!!

Joda, der kan altid gøres mere for at gøre det mere sikkert. Det er helt op til dig. Der findes ikke noget specifikt svar på det.

Men det lyder som om du har et lidt mere specifikt spørgsmål/problem end du giver udtryk for? Noget specielt du vil vide?

Jeg vil tilføje noget... Bruger du sessions så er det sgu svært at komme forbi, hvis du udnøtter det! På min hjemmeside www.Teamsf.frac.dk har jeg et login, og der har jeg lavet et ban system, så hvis en prøver at gå forbi, vil jeg få hans ip-adresse og hostname, og efter hvad jeg ved er ingen sluttet forbi..

---------------------------------
www.teamsf.frac.dk
www.EJ-Computer.dk | Your PC entertainer

Jeg vil tilføje noget... Bruger du sessions så er det sgu svært at komme forbi, hvis du udnøtter det! På min hjemmeside www.Teamsf.frac.dk har jeg et login, og der har jeg lavet et ban system, så hvis en prøver at gå forbi, vil jeg få hans ip-adresse og hostname, og efter hvad jeg ved er ingen sluttet forbi..

---------------------------------
www.teamsf.frac.dk
www.EJ-Computer.dk | Your PC entertainer

Når man fx bruger sessions kan et sikkerhedshul være at man glemmer at kalde session_regenerate_id() når brugeren logges ind. Hvis funktionen ikke kaldes, kan det være muligt for en hacker at blive "logget med ind" når en bruger logges ind. Det er bare et eksempel på et eventuelt sikkerhedshul. Der kan være mange flere.