Comments for Guides

Comment on Password hashing by Ricehigh

Ricehigh — Sun, 17 Jan 2010 13:24:36 +0000

Yes, it does seem that similar solutions has been proposed by others. Still, I hope that this guide has been useful for you.

The confusion of the unused constant SECURE_SALT, arises because I erroneously called the constant SECURE_SALT, instead of the FIXED_SALT, which is the constant we defined at the very beginning of the script.

The failure has been corrected in the downloadable file, and will be corrected throughout the article in the next couple of days.
I apologize for the confusion this may have caused.

Comment on Password hashing by feha

feha — Sun, 17 Jan 2010 12:54:34 +0000

Hi
I really like your function generating random salted hash that still works
http://guides.ricehigh.dk/files/password.php
I just wonder what SECURE_SALT constant does as it is not defined anywhere ? (bug ?)
I don’t know but I think this solution was presented long time before:
http://phpsec.org/articles/2005/password-hashing.html

And what about :
https://gist.github.com/154619/dfcf313301a88f1feef64470b3248e275413c20e ?

Comment on Cookie security by Ricehigh

Ricehigh — Fri, 27 Feb 2009 16:46:14 +0000

Mit bud er at dit webhotel af en eller anden årsag har fjernet support for hash().

Prøv at se om du får et output med:

print_r(hash_algos());

Hvis du ikke gør, skal du tale med dit webhotel om at åbne op for hash(). Hvis du får et output skal du se om sha256 står på listen:)

Comment on Cookie security by Milenco

Milenco — Fri, 27 Feb 2009 16:41:08 +0000

Kanon, mange tak..! Så kan andre i hvert fald også se hvordan du gør det I øvrigt – lige et tillægsspørgsmål nu hvor vi er i gang heh..

Når jeg kører siden på localhost fungerer det hele som det skal nu med cookie funktionen og de tilhørende tabeller i databasen.. Men når jeg smider det op på mit webhotel får jeg en fatal error, når jeg prøver at benytte mig af cookie funktionen:

Fatal error: Call to undefined function: hash()

Du skulle vel ikke vide hvad det skyldes? Det virker lidt mystisk synes jeg :S

Comment on Cookie security by Ricehigh

Ricehigh — Fri, 27 Feb 2009 15:20:38 +0000

@Milenco
Jo, det kunne godt have været en del af guiden:)
Måden jeg gør det på følger her:


 
// Ends the session, and destroy all data associated with it.
 
session_destroy();
 
 
 
if ($_COOKIE['login']){
 
	// Deletes the cookie value and sets the expirery date to zero. The cookie will be fully deleted when the user exits the session (when the browser is closed).
 
	setcookie("login", " ", 0, "/");
 
 
 
	//  // // The following deletes the cookie information from the database. This is done to keep the database size down.  If you for some reason wish to keep these data in your database, you can delete the following.
 
	// Devides the cookie in it's seperable values: 1) Username, 2) A unique random number and 3) the expirery date for the cookie.
 
	$info = explode('
',$_COOKIE['login']);
 
	// mysql_escape_string is used to prevent mysql injection attacks.
 
	$username = mysql_escape_string($info[0]);
 
	$random = mysql_escape_string($info[1]);
 
	$expire = $info[2];
 
	// Checks if a username is present and wether the username holds special characters.
 
	if($username && ($username == htmlentities($username))){
 
		$result = mysql_query("SELECT * FROM `$cookie_user_db` WHERE `user` = '$username' AND `random` = '$random' AND `expire` = $expire");
 
		if(mysql_num_rows($result) >= 1){
 
			mysql_query("DELETE FROM `$cookie_user_db` WHERE `user` = '$username' AND `random` = '$random' AND `expire` = $expire");
 
		}
 
	}
 
	// // // Cookie deletion from database complete
 
}
 
// Sends the user back to the login website
 
header("Location: $login_website");
 
?>

Comment on Cookie security by Milenco

Milenco — Fri, 27 Feb 2009 15:12:21 +0000

@Ricehigh Ah ja, det har du fuldstændig ret i.. Det havde jeg ikke lige taget højde for at jeg allerede havde gjort :/ Men kanon! Nu virker det nogenlunde som det skal.. Eneste der måske lige mangler i guiden er en funktion, der sletter cookies igen fra databasen når man logger ud

Comment on Cookie security by Ricehigh

Ricehigh — Fri, 27 Feb 2009 14:39:12 +0000

Ok – det lader til at du har brugt en funktion tilsvarende htmlentities, inden du lå værdien i cookien.
Hvis du bruger:

$value  = "$username
$random
$expire";

Når du opretter cookien og:

$info = explode('
',$_COOKIE['login']);

Når du tjekker cookien.

Så burde der være styr på det:)

Comment on Cookie security by Milenco

Milenco — Fri, 27 Feb 2009 14:35:05 +0000

@Ricehigh

Her får jeg udskrevet følgende når jeg prøver det:

brugernavn: test\n6b5becd8ce3609aafdedc51b68bb2f994e9fa4e2c1f87ebf02ad31f9b24666fa\n1238326461
Random:
Expire:
// og min fejlbesked fra fejl.php

Comment on Cookie security by Ricehigh

Ricehigh — Fri, 27 Feb 2009 13:30:01 +0000

@Milenco
Jeg sidder uden apache i øjeblikket, så kan ikke teste dit script, men jeg har tilføjet noget debug kode, der skulle kunne hjælpe med at identificere problemet.

Prøv at køre denne kode: http://www.phpriot.com/1992 og giv mig outputtet:)

Comment on Cookie security by Milenco

Milenco — Fri, 27 Feb 2009 12:30:28 +0000

@Ricehigh
Ah jaja, naturligvis hehe Men nej, det virker stadig ikke efter planen af en eller anden grund Jeg synes det virker meget mystisk!

Den udskriver min cookie med de korrekte oplysninger hvis jeg bruger print cookie som du skrev: dvs username, random og expire bliver udskrevet præcis som de står skrevet i databasen også..

Men når jeg så prøver at køre det “script” du har skrevet, kører den bare ned til delen, hvor den ikke kan finde cookien og den includer fejl.php

Mit cookie-”script” ser sådan her ud nu: http://www.phpriot.com/1991