Registration sicher?

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Registration sicher?

    Hallo leute,
    ich habe hier ein wenig nach sicherheit von registrationsformularen gesucht.

    kann mir jemand ein paar tipps geben zu meinem registrationsformular?

    http://test00r.dyndns.org/ajax/register.php

    Ich bin mir nicht sicher obs hier richtig ist, jedoch ist im Formular mit Ajax, sowie PHP gearbeitet worden.


    mfg

  • #2
    Re: Registration sicher?

    Original geschrieben von MoJou
    kann mir jemand ein paar tipps geben zu meinem registrationsformular?
    Tipps bzgl. was?

    Wenn es "sicher" sein soll, dann definiere bitte sicher in wie fern bzw. wo gegen.
    Ich bin mir nicht sicher obs hier richtig ist, jedoch ist im Formular mit Ajax, sowie PHP gearbeitet worden.
    Vermutlich dürfte PHP der passendere Bereich sein (*verschieb*), denn wenn mit den Daten etwas passiert, dann wohl auf dem Server.
    I don't believe in rebirth. Actually, I never did in my whole lives.

    Kommentar


    • #3
      naja also der Username soll keine Skripte enthalten können.

      ich weiß nicht worauf man noch alles achten sollte wenn man einen User z.B für eine Community registriert.

      ich Poste mal den teil des codes für die Überprüfung.

      [code entfernt]
      Zuletzt geändert von wahsaga; 31.10.2006, 16:10.

      Kommentar


      • #4
        Original geschrieben von MoJou
        naja also der Username soll keine Skripte enthalten können.
        Was für "Scripte"?

        Javascript? PHP? SQL-Code?

        Überlege dir, welcher an welcher Stelle wirksam werden könnte - und was dagegen zu tun ist.

        ich Poste mal den teil des codes für die Überprüfung.
        Bitte Regeln lesen, vor allem bgzl. Code umbrechen, und dann nochmal versuchen.
        I don't believe in rebirth. Actually, I never did in my whole lives.

        Kommentar


        • #5
          Es soll kein HTML oder JAVASKRIPT ausgeführt werden können, php wäre von seiten des users meines wissens nach eh nicht möglich.

          ich hab das mit htmlspecialchars() gelöst, ich weiß aber nicht ob es dennoch Sicherheitslücken gibt.
          Zuletzt geändert von MoJou; 31.10.2006, 16:22.

          Kommentar


          • #6
            Warning: mail() [function.mail]: Failed to connect to mailserver at "localhost" port 25, verify your "SMTP" and "smtp_port" setting in php.ini or use ini_set() in C:\Programme\xampp\htdocs\AJAX\register.php on line 93
            Um die Registration abzuschließen das übliche email Spiel...User angelegt, email versandt


            google mal nach SQL-Injektion
            wie läuft die Registrierung ab? INSERT INTO mysql-db?
            PHP Forum
            Sessions in PHP
            Loginsystem mit PHP erstellen

            Kommentar


            • #7
              ups ja liegt an meinem mail serv, hab den rechner neu gestartet mail server ist aus... jetzt müsstes wieder gehen...

              joa ich machs über INSERT INTO das pass is natürlich md5 zerfleischt

              Kommentar


              • #8
                joa ich machs über INSERT INTO das pass is natürlich md5 zerfleischt
                Das pass interessiert nicht so sehr, da bei Anwendung von md5() keine für die DB gefährlichen Zeichen übrig bleiben werden Interessanter wäre es zu wissen wie du Username und Email in die DB einträgst. Wendest du vor dem eintragen noch eine Fkt wie mysql_real_escape_string() auf die Daten an ?

                Gruss

                tobi
                Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

                [color=red]"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."[/color]
                Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)

                Kommentar


                • #9
                  nja das einzige was ich mache ist

                  PHP-Code:
                  $username=htmlspecialchars($usernameENT_QUOTES); 
                  ansonsten füge ich den user so in die tabelle ein via

                  PHP-Code:
                  $sql="INSERT INTO users SET UserName='".$username."', UserPass=MD5('".$userpass."'), UserMail='".$usermail."', 
                  ActivationCode='"
                  .$Aktivierungscode."'    "// Befehl zum anlegen des Users 
                  der von dir eingetragene wert (ich schätze er ist von dir) ist 'OR1=1'

                  was würde passieren wenns so aussehen würde wie du es eingegeben hast?
                  Zuletzt geändert von MoJou; 31.10.2006, 22:19.

                  Kommentar


                  • #10
                    Also wenn ich dich richtig verstanden habe dann willst du dass keine html-Tags angegeben werden können ?
                    Dazu wäre dann
                    PHP-Code:
                    $username mysql_real_escape_string(strip_tags($username)); 
                    imho eher angebracht. strip_tags() sorgt dafür dass keine html Tags mehr im String sind und mysql_real_escape_string() ist dafür zuständig keine für die DB gefährliche Zeichen unescaped im String zu lassen --> Stichwort mysql Injection
                    Grundsätzlich solltest du die zweite Fkt auf alle Daten anwenden die vom User kommen und in eine DB eingetragen werden sollen.

                    Gruss

                    tobi
                    Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

                    [color=red]"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."[/color]
                    Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)

                    Kommentar


                    • #11
                      aber das pw brauch damit ncht bearbeitet werden oder? ich schätze als md5 können diese sicher nicht viel anrichen (siehe edit im letzten Post)

                      Kommentar


                      • #12
                        Original geschrieben von jahlives
                        Das pass interessiert nicht so sehr, da bei Anwendung von md5() keine für die DB gefährlichen Zeichen übrig bleiben werden
                        Solange md5() vor dem Eintrag in die DB anagewendet wird.

                        Kommentar

                        Lädt...
                        X