Für eine Seite die ich grad baue brauche ich ein Loginmodul.
Mangels Masse (programmier und finanztechnischer -Javaaplett bauen oder kaufen kommt nicht in Frage-) also muß es in PHP sein.
Da diese übers Internet erreichbar sein soll, aber nur für Firmeninterne gedacht ist und höchst sensieble Daten entahlten wird, darf das nicht so leicht gehackt werden können.
Folgende Überlegungen hab ich schon:
1. die Session nur über Cookie +
2. IP in der Session merken
(gegen Session klau)
3. in der DB merken ob user ein,ausgelogt und wann das letzte mal
(eingelogte user bis zum Sessionende sperren)
bis dahin ist die Realisierung auch kein Problem
Aber wo sind im allgemein die Sicherheitslücken? Und wie stopft man diese?
Wie ist die Abfrage ob sich das Script (bei ausgelagerten Teilen vorallem) im gültigen loginzustand befindet am sichersten?
So soll z.B. bestimmte Teile aus dem Hauptscript ausgelaget werden.
z.B.:
index.php
|
|(führt login durch und prüft user)
|(wenn user valid)
|
|----------------------------include('zeig_geschützen_inhalt_oder_mach_was.php');
|
|
|---------------------------mach_was_anderes_(evil).php
edit: Hat wer ein vernüftiges Tutorial? ->Eines, welches insbesondere auf Sicherheitsaspekte wert legt.
edit 2: Das Posting jetzt auch in Deutsch
---
MfG:Austin Power (Saturn Realm)
OMW! Zumindest sobald ich herausgefunden hab wo ich JETZT gerade bin.
<---------->
"Wenn Liebe die Antwort ist, könnst Du bitte die Frage neu formulieren?" ... Lily Tomlin
<---------->
code hier
http://www.pastebin.com
