Grundverständnis von Loginsicherheit=)

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Grundverständnis von Loginsicherheit=)

    Hallo!

    ich habe ein Loginsystem erstellt, es funktioniert wunderbar und man hat mir ans Herz gelegt, Cookies zu nehmen!

    Ich hab mir ein bisschen Gedanken über die Sicherheit gemacht!

    Die Session ID und der Nick werden in einem Cookie gespeichert und wenn diese Werte mit der Datenbank übereinstimmen, gilt man als eingeloggt!

    sollte ich noch das Passwort (md5() zur kontrolle hinzufügen oder ist das für normalen Gebrauch sicher genug?

    Danke für eure Meinungen/Ratschläge/Hilfen =)


    lg

  • #2
    Sich nur auf Cookies zu verlassen ist eine Dummheit....

    Sollen die Cookies immer nach dem Einloggen gesetzt werden oder soll es auch ein "Auto-Login"-System werden?
    Für alle die Fehler suchen, gibts gratis tolle Debuggingmöglichkeiten:
    var_dump(), print_r(), debug_backtrace und echo.
    Außerdem gibt es für unsere Neueinsteiger ein hervorragendes PHP Tutorial zu PHP 4 und PHP 5 (OOP)
    Es heißt $array['index'] und nicht $array[index]! Und nein, das ist nicht egal!
    Dieses Thema lesen, um Ärger im Forum und verzögerte Hilfen zu vermeiden.

    Kommentar


    • #3
      die cookies werden nach dem login gesetzt und sobald diese gesetzt sind werden sie immer ausgelesen (ob mit der datenbank user,pass, und sessionid zusammenstimmen)

      ist dies der fall, so kommt man auf die member-seiten=)bzw. hat darauf zugriff=)

      was würdest du sonst noch vorschlagen außer cookies?

      Kommentar


      • #4
        Sprechen wir hier von den normalen Sessioncookies? Oder von eigenen Cookies, die du zum Autologin verwendest?

        Kommentar


        • #5
          es sind eigene cookies=)

          Kommentar


          • #6
            du solltest beim login user & pw überprüfen und dann in deiner Session (wenn du denn eine benutzt ansonsten erstellen) die entsprechenden Werte setzen damit der user eingeloggt ist.

            Cookies würde ich nur für einen Dauerlogin benutzen, da mache ich das so das ich userid und md5 checksum vom pw speicher und das auch beim ersten seitenaufruf überprüfen und dann wieder mit der Session weitermachen

            Kommentar


            • #7
              Es soll ja sowas wie ein Dauerlogin sein=)also dass man länger eingeloggt wird=)

              ähm was ist dann eigentlich der Vorteil von der Session?

              Beim Login wird eh alles überprüft(eh ganz klar) und dann halt per Session und per Cookie gespeichert!beides wird dann immer überprüft und auch mit Datenbank(auch SessID wird in DB gespeichert)=)weiß net ob das vl. ein bisschen zu kompliziert ist, aber ich denke, dass das doch dann halbwegs sicher sein müsste oder?=)

              Kommentar

              Lädt...
              X