Login Scipt

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Login Scipt

    Hoi,

    folgendes Script hab ich bis Jetzt :
    PHP-Code:
    <?PHP
    $username 
    =  "demo";
    $password =  "demo";

    function 
    authenticate() {
      
    Header"WWW-authenticate: basic realm=\" Administrations-Bereich\"");
      
    Header"HTTP/1.0 401 Unauthorized");
      echo   
    "Benutzername oder Kennwort Falsch!!!\n";
      exit;
    }

    function 
    CheckPwd($user,$pass) {
      global 
    $username,$password;
      return (
    $user != $username || $pass != $password) ? false true;
    }

    if(!isset(
    $PHP_AUTH_USER)) {
      
    authenticate();
    }
    elseif(!
    CheckPwd($PHP_AUTH_USER,$PHP_AUTH_PW)) {
      
    authenticate();
    }
    ?>
    Wie stell ich es jetzt an, das ich einen 2. oder 3. usw. User und ein dazugehöriges PW vergeben kann?

    Danke schonma


    Hogl

  • #2
    Arrays helfen dir weiter.
    Allerdings würde ich an deiner Stelle früher oder später eine Datenbank für die Userdaten verwenden, oder zur Not ne Textdatei.
    hopka.net!

    Kommentar


    • #3
      Arrays und / oder Datenbankbasiert (SQL oder Text) wollt ich auch gerade vorschlagen.
      Aber vorsicht - SQL-Injection-sicheren PHP-Code entwickeln.

      Kommentar


      • #4
        Hoi,

        wie mach ich ne db auf textatei basis? hat da jemand n beispiel? weil damit hab ich mich noch nie befasst. dieses script hab ich vor ner ganzen weile mal gefunden, und bisher hat es mir gereicht.

        Hogl

        Kommentar


        • #5
          such mal im forum.

          fopen und co helfen dir auch.

          Kommentar


          • #6
            guten morgen zusammen.

            Aber vorsicht - SQL-Injection-sicheren PHP-Code entwickeln.
            sorry aber was ist denn damit bitte gemeint?
            shit happens

            Kommentar


            • #7
              Original geschrieben von Magic11
              guten morgen zusammen.



              sorry aber was ist denn damit bitte gemeint?
              http://php3.de/manual/de/security.da...-injection.php
              mfg
              marc75

              <Platz für anderes>

              Kommentar


              • #8
                Zu SQL-Injection mal ein simples Beispiel bei bekanntem Namen:
                Angenommen, nach dem Übergeben von Name/Password würdest Du einfach folgende MySQL-Abfrage machen:
                PHP-Code:
                <?
                ...
                $query = mysql_query("SELECT * FROM users WHERE loginname = '$formname' AND pass='$formpass'");
                ...
                ?>
                Der Böse User gibt folgenden Benutzernamen ein: admin';--
                Das Passwortfeld lässt er leer
                Die Zeichen ;-- verursachen, dass alle nachfolgende ignoriert wird.
                Die von PHP an MySQL gesendete Anweisung lautet also
                Code:
                SELECT * FROM users WHERE loginname = '[B]admin';--[/B]' AND pass=''
                Alles hinter dem Semikolon wird ignoriert, ergo wird nur noch geprüft, ob der Loginname stimmt, und es geht fröhlich weiter im Script.
                Es gibt natürlich eine ganze Menge an solchen Tricks.
                Ein weiteres Beispiel bei unbekannten Nutzernamen/Passwort ist, als Namen irgendwas einzutippen und als Passwort die Zeichenkette irgendwas' or 0=0;-- einzugeben

                Das soll aber nicht heissen, dass MySQL schlechter als Textbasiert ist, ganz im Gegenteil.
                Aber man muss seinen Job gut machen!

                Zu den textbasierten Sachen empfehle ich auch noch, dass Du dich mal mit CSV-Dateien befasst und ganz nebenbei mal ein kleines PHP-Buch liest, da Textbasierte Daten in fast jedem PHP-Buch besprochen werden, so etwa gleich nach der Seite, wo KAPITEL 1 steht

                Kommentar

                Lädt...
                X