WebWork Magazin - Webseiten erstellen lassen, Online Medien, html

Webhoster, Webhosting Provider und Domain registrieren

Home | Registrieren | Einloggen | Suchen | Aktuelles | GSL-Webservice | Suleitec Webhosting
Reparatur-Forum | Elektro forum | Ersatzteilshop Haushalt und Elektronik



Im Homepage und Webhosting-Forum --- wieder mal login

Scripte und Programme für PHP, MYSQL. Diskussionen zur Programmierung im Web. Fragen zu CMS, Blogsoftware, Shops, Newsletter und vielen weiteren Scripten.

Forum » PHP & MySQL » wieder mal login - 29 März 2024 Antworten
wieder mal login
werner_s
Pixelschubser
Threadstarter




Beiträge: 10

hallo!

Dürfte schon ziemlich langweilig sein, aber ich hab wirklich brav im netz gestöbert und auch die suche-funktion verwendet. rtfm hat auch nix gebracht. bin halt einfach zu doof

ich will ein einfaches login auf sessions basierend. bitte um verbale zerfleischung, wenn man das so überhaupt nicht machen kann!

Die Daten skz und pw kommen von einem einfachen formular!
Wenn ich das richtig sehe, dann kann ich nach diesem script bei jeder datei, in der ich session_start() versende die skz und das pw auslesen und die datenbank diesbezüglich filtern. Stimmt das so?

1: 
2: 
3: 
4: 
5: 
6: 
7: 
8: 
9: 
10: 
11: 
12: 
13: 
14: 
15: 
16: 
17: 
18: 
19: 
20: 
21: 
22: 
23: 
24: 
25: 
26:
pwbet;

if($row == false)								// Wenn kein Suchergebniss erzielt wurde db_pw auf dummywert setzen
$db_pw =  "?!§!$%";


if($db_pw <> $pw) {
echo "User oder Passwort falsch!
"; echo 'Zurück zur Anmeldung'; exit; } ?>


also auf zum lustigen Zerfleischen

lg und danke
werner

  Profil   Editieren   Zitieren
subjective
Forenheld




Beiträge: 844

uhh das ist noch aus der register_globals-Zeit. - Heutzutage verwendet man kein session_register() mehr sondern greift einfach auf das Array $_SESSION zu. Werte die man dort schreibt werden am Ende des Scripte abgespeichert und vom nächsten session_start() geladen.

Das zweite Problem dieses Scriptes hier ist SQL-Injection. Durch die Angabe bestimmter Passwörter kann ich das SQL-Statement so verändern, das zB das Passwort an dieser Stelle gar nicht geprüft wird.

Das dritte Problem hast du erkannt. Das Passwort liegt im Klartext sowohl in der Datenbank, als auch in der Session. Allerdings befindet sich ja beides auf dem Server - an den Client geht ja nur die Ausgabe des PHP-Scriptes. Man kann Passwörter in einen Hash umwandeln (md5(), sha1(),...). Da das gleiche Passwort immer den gleichen Hash ergibt, verschlüsselt man einfach die Eingabe ebenfalls und vergleicht die beiden verschlüsselten Werte. Damti kann jemand mit Zugriff auf den Server/die Datenbank das Passwort nicht mehr lesen. Das hilft natürlich nich auf deinem Server - aber es schützt eventuelle andere Accounts des gleichen Users (auch vor dir .

Nummer vier ist ein logisches Problem. Das Passwort aus der DB wird zusätzlich noch mal mit dem Masterpasswort im PHP-Script verglichen - damit geht nur ein Passwort für alle User - irgendwie kein guter Schutz. Es macht das SQL ziemlich überflüssig.

Am besten mal in das QNet-PHP-Tutorial (http://tut.php-q.net) gucken



---
Weaverslave

  Profil   Website   Editieren   Zitieren
Philipp Gérard
Foren-Team




Beiträge: 1502

Genau die Seite möchte ich auch empfehlen, vor allem http://tut.php-q.net/login.html.

---
Arbeit ist das Feuer der Gestaltung. - Marx

  Profil   E-Mail   Website   Editieren   Zitieren
 

Antworten
Forum » PHP & MySQL » wieder mal login

Aktuelle Beiträge zur Hilfe im Forum für Homepage - wieder mal login im Forum Homepage Hosting AntwortenLetztes Posting
Best online slots
in "PHP & MySQL"
0 23.01.2023 22:40 von Sevetr
Rangliste (Ohne Mysql) (Kompliziertes Ordner System)
in "PHP & MySQL"
3 19.07.2021 06:00 von newtopblog
kleines problem mit phpadmin
in "PHP & MySQL"
5 11.04.2021 22:22 von Zavylon
Counter mit PHP
in "PHP & MySQL"
4 22.03.2021 16:29 von Robeni
Fehlermeldung beim Importieren der Datenbank in phpmyadmin
in "PHP & MySQL"
0 02.08.2019 22:14 von iFuchs
CMS für Online Shop
in "PHP & MySQL"
18 26.05.2019 13:29 von raiserle
Regestrierungproblem
in "PHP & MySQL"
3 28.11.2018 13:20 von norbertofahey
PHP Datum ausgeben?
in "PHP & MySQL"
1 19.10.2018 10:04 von Klaus1973
PHP befehl ausführen
in "PHP & MySQL"
11 16.08.2018 09:08 von Klaus1973
Visual Composer selber programmieren?
in "PHP & MySQL"
0 22.01.2017 23:45 von Redji
php preg_replace_callback für dynamischen Link
in "PHP & MySQL"
0 05.07.2016 11:02 von Rm21
PHP Code verschlüsseln
in "PHP & MySQL"
20 21.02.2016 21:25 von Kilian1
migrierter WP-Blog läuft nicht ...
in "PHP & MySQL"
0 04.02.2016 02:01 von Oxygon



Besucher : 7975183    Heute : 134     Gestern : 388     Online : 41     29.3.2024    10:12      0 Besucher in den letzten 60 Sekunden        
Nach oben