php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Scripts > BRAINSTORMING PHP/SQL/HTML/JS/CSS
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


BRAINSTORMING PHP/SQL/HTML/JS/CSS Ihr habt eine Idee, aber keinen genauen Ansatz? Diskutiert mit anderen Usern des Forums über eure Gedankengänge um evtl. hilfreiche Ideen zu bekommen!
Normale Fragen bitte weiterhin in die entsprechenden Foren!

Umfrageergebnis anzeigen: Welches Login-System arbeitet auf deiner HP
PHP & mySQL ohne Sessions 1 3,85%
PHP & mySQL mit Sessions 25 96,15%
.htaccess (Useradministration über FTP-Tool) 0 0%
.htaccess (Useradministration über Browser) 0 0%
Teilnehmer: 26. Sie dürfen bei dieser Umfrage nicht abstimmen

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #1 (permalink)  
Alt 24-11-2004, 18:47
Benutzerbild von Meillo Meillo
 Registrierter Benutzer
Links : Onlinestatus : Meillo ist offline
Registriert seit: Mar 2004
Ort: Balmora
Beiträge: 1.869
Meillo ist zur Zeit noch ein unbeschriebenes Blatt
Standard .htaccess vs. PHP&mySQL

Hi Jungs,

Ich hab mal wieder eine "Wie macht ihr das ...."-Frage

Wie schützt ihr einen Member-Bereich?

Die Frage sollte anhand von Sicherheit und Administration erörtert werden.

Punkte, die zu klären wären:
> wie sicher ist PHP&mySQL (vorrausgesetzt man macht es RICHTIG) im Vergleich zu .htaccess?
> die Online-Administration (per Webinterface) für .htaccess (kann ich dann gleich PHP&mySQL nehmen?)
> .htaccess-Lösung wenn nicht nur "Pauschalrechte" vergeben werden sollen, sondern einzelne Aktionen verboten/erlaubt werden sollen.
> .htaccess - mit Sessions oder ohne?

--

bisher verwende ich PHP&mySQL ohne Sessions
da ich den ganzen Admin-Bereich komplett überarbeite will ich mir die Sicherheit auch nochmal anschauen.
Nach jetztigem Stand würde ich mich für PHP&mySQL + Sessions entscheiden.
__________________
Ein großes DANKE an alle, die sich auf selbstlose Weise im Forum einbringen.

btw: REAL PROGRAMMERs aren't afraid to use GOTOs!

Etwas ernster, aber auch nicht weiter tragisch, sieht die Situation bei Software-Patenten aus. Software-Patente sind eine amerikanische Erfindung und stehen auf dem selben Blatt wie genveränderte Babynahrung, die im Supermarkt nicht mehr als solche gekennzeichnet werden soll, um die Hersteller nicht gegenüber denen natürlicher Produkte zu diskriminieren ...
(from here)
Mit Zitat antworten
  #2 (permalink)  
Alt 24-11-2004, 19:02
ghostgambler
 Master
Links : Onlinestatus : ghostgambler ist offline
Registriert seit: Jul 2004
Ort: DE - NRW
Beiträge: 4.620
ghostgambler ist zur Zeit noch ein unbeschriebenes Blatt
Standard Re: .htaccess vs. PHP&mySQL

Zitat:
Original geschrieben von Meillo
Wie schützt ihr einen Member-Bereich?
PHP+Session+MySQL
Zitat:
> .htaccess-Lösung wenn nicht nur "Pauschalrechte" vergeben werden sollen, sondern einzelne Aktionen verboten/erlaubt werden sollen.
> .htaccess - mit Sessions oder ohne?
Einzelne Rechte werden dann kompliziert, weil du nur das Skript damit schützt, bzw. den gesamten Ordner...du müsstest dann für jede Aktion einen Ordner+htaccess-Datei machen...meines Wissens nach
httacces funzt ohne Sessions!
Zitat:
Nach jetztigem Stand würde ich mich für PHP&mySQL + Sessions entscheiden.
Beste Wahl denke ich, weil du einfach ne Menge Freiheiten hast...
Mit Zitat antworten
  #3 (permalink)  
Alt 24-11-2004, 19:55
xManUx
 Registrierter Benutzer
Links : Onlinestatus : xManUx ist offline
Registriert seit: Feb 2004
Beiträge: 833
xManUx ist zur Zeit noch ein unbeschriebenes Blatt
Standard Re: Re: .htaccess vs. PHP&mySQL

Zitat:
Original geschrieben von ghostgambler
Beste Wahl denke ich, weil du einfach ne Menge Freiheiten hast...
*bestätige
__________________

Es kommt nicht darauf an, mit dem Kopf durch den Monitor zu rennen,
sondern mit den Augen das Manual zu lesen.

Mit Zitat antworten
  #4 (permalink)  
Alt 24-11-2004, 21:34
Benutzerbild von Meillo Meillo
 Registrierter Benutzer
Links : Onlinestatus : Meillo ist offline
Registriert seit: Mar 2004
Ort: Balmora
Beiträge: 1.869
Meillo ist zur Zeit noch ein unbeschriebenes Blatt
Standard Re: .htaccess vs. PHP&mySQL

Zitat:
Original geschrieben von Meillo
> wie sicher ist PHP&mySQL (vorrausgesetzt man macht es RICHTIG) im Vergleich zu .htaccess?
Hat da jemand seriöse Infos?
__________________
Ein großes DANKE an alle, die sich auf selbstlose Weise im Forum einbringen.

btw: REAL PROGRAMMERs aren't afraid to use GOTOs!

Etwas ernster, aber auch nicht weiter tragisch, sieht die Situation bei Software-Patenten aus. Software-Patente sind eine amerikanische Erfindung und stehen auf dem selben Blatt wie genveränderte Babynahrung, die im Supermarkt nicht mehr als solche gekennzeichnet werden soll, um die Hersteller nicht gegenüber denen natürlicher Produkte zu diskriminieren ...
(from here)
Mit Zitat antworten
  #5 (permalink)  
Alt 24-11-2004, 23:12
jochenj
 Senior Member
Links : Onlinestatus : jochenj ist offline
Registriert seit: Oct 2002
Ort: Maikammer
Beiträge: 546
jochenj ist zur Zeit noch ein unbeschriebenes Blatt
Standard

das thema hat mich auch mal interessiert

alter Thraed

habe mein mitgliedbereicht mit php, session und mysql zusammengebastelt, bei jedem seitenaufruf frage ich die db nach benutzerlevel und "gültigkeit" des login ab (nicht viele benutzer)

bezüglich der sicherheit: jedes passwort ist knackbar (frage der zeit und des aufwandes). mein script überspringt nach 5 falscheingaben die benutzerprüfung und zeigt keine loginmöglichkeit mehr an ob das auch bei .htaccess geht -> k.a., ansonsten kann ich eigentlich ruhig schlafgen
Mit Zitat antworten
  #6 (permalink)  
Alt 27-11-2004, 17:08
S.Oliver
 Junior Member
Links : Onlinestatus : S.Oliver ist offline
Registriert seit: Jun 2004
Beiträge: 109
S.Oliver ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Man braucht keinen eigenen Ordner für jeden User, weil man den Usernamen ja durch auslesen von http://php3.de/manual/de/features.http-auth.php bestimmen kann. Diese Daten sollte auch nicht manipulierbar sein.

Warum muss eigentlich immer mySQL bemüht werden? Es reicht doch auch, wenn man alle Variabeln in der Session speichert. Oder hab ich irgendwie den Sinn einer Sessiontabelle nicht verstanden? Für mich ergibt sie nämlich nur dann Sinn, wenn man die aktuelle Anzahl angemeldeter User ermitteln will. Alles andere lässt sich auch NUR mit Sessions lösen.
Mit Zitat antworten
  #7 (permalink)  
Alt 27-11-2004, 17:43
ghostgambler
 Master
Links : Onlinestatus : ghostgambler ist offline
Registriert seit: Jul 2004
Ort: DE - NRW
Beiträge: 4.620
ghostgambler ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Original geschrieben von S.Oliver
Warum muss eigentlich immer mySQL bemüht werden? Es reicht doch auch, wenn man alle Variabeln in der Session speichert. Oder hab ich irgendwie den Sinn einer Sessiontabelle nicht verstanden? Für mich ergibt sie nämlich nur dann Sinn, wenn man die aktuelle Anzahl angemeldeter User ermitteln will. Alles andere lässt sich auch NUR mit Sessions lösen.
Die UserTabelle ist hier glaube ich mehr darauf bezogen, dass darin Username und Passwort gespeichert wird. Der Rest ist nur Spielerei...aber hast du schonmal darüber nachgedacht, wie du deine User mit diesen dummen Popups nervst?
Solche Seiten guck ich mir gar nicht erst an (animexx ist eine Ausnahme, weil das bald entfernt wird, ich nutz schon die Testversion des einlogg-System, wo das Popup endlich wech ist)

btw. hat das System scheinbar viele Sicherheitslücken und das Ausloggen funzt irgendwie auch nicht richtig. Kann ich zwar nichts genaues zu sagen, weil ich mich mit dem Ding nicht wirklich beschäftigt habe (ich fand die Methode beim ersten angucken schon unsympathisch), aber auf Animexx ist es ein Grund, warum jetzt von diesem System weggegangen wird....nicht empfehlenswert also IMO
Außerdem hat so eine Verbindung mit einer MySQL-Tabelle schon mehrere Vorteile, auf die ich bei meinen Projekten gar nicht verzichten kann.
Mit Zitat antworten
  #8 (permalink)  
Alt 29-11-2004, 11:08
wahsaga
  Moderator
Links : Onlinestatus : wahsaga ist offline
Registriert seit: Sep 2001
Beiträge: 25.236
wahsaga befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Original geschrieben von ghostgambler
btw. hat das System scheinbar viele Sicherheitslücken
HTTP AUTH hat sicherheitslücken? nenn' mir bitte welche.

Zitat:
und das Ausloggen funzt irgendwie auch nicht richtig.
ein "ausloggen" ist bei HTTP AUTH ja auch gar nicht vorgesehen.

irgendwie habe ich bei dir den eindruck, dass du hier eine technik beurteilst, die du gar nicht verstanden hast.
__________________
I don't believe in rebirth. Actually, I never did in my whole lives.
Mit Zitat antworten
  #9 (permalink)  
Alt 29-11-2004, 14:07
ghostgambler
 Master
Links : Onlinestatus : ghostgambler ist offline
Registriert seit: Jul 2004
Ort: DE - NRW
Beiträge: 4.620
ghostgambler ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Original geschrieben von wahsaga
irgendwie habe ich bei dir den eindruck, dass du hier eine technik beurteilst, die du gar nicht verstanden hast.
Ich hab sie mir gar nicht angeschaut....ich hab nur das geschrieben, was ich woanders aufgeschnappt hab. Das mit dem Ausloggen, war jedoch mal vorgesehen, nur das "Feature" wurde irgendwann aus den Browsern entfernt. Und das mit den Sicherheitslücken, dazu kann ich dir nicht wirklich was sagen. Das hatte ein "Vorgänger" von meinem jetzigen Projekt rausgefunden (war ein Anfänger, aber das muss ja nichts heißen) und ich hab mich damit nicht weiter beschäftigt, weil ich diese Art des Logins eh wieder rausgeschmissen hätte.
Bei einer Seite, wie die die ich grade programmiere sollte man sich aus ausloggen können....ist halt so, und da das nicht gegeben ist, liegt die Möglichkeit für mich flach.
Außerdem hasse ich (wie wahrscheinlich auch eine Menge Anderer) dieses blöde Popup, was sich einfach in den Vordergrund drängelt *grrr*
Mit Zitat antworten
  #10 (permalink)  
Alt 29-11-2004, 14:17
wahsaga
  Moderator
Links : Onlinestatus : wahsaga ist offline
Registriert seit: Sep 2001
Beiträge: 25.236
wahsaga befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Original geschrieben von ghostgambler
Das mit dem Ausloggen, war jedoch mal vorgesehen, nur das "Feature" wurde irgendwann aus den Browsern entfernt.
nö, war es nicht.

HTTP AUTH sieht nun mal kein "ausloggen" vor, auch wenn das viele leute offenbar nicht verstehen wollen.

es ist ja auch nur gedacht, um eine authentifizierung vor dem zugriff auf eine ressource realisieren zu können, und nicht um damit komplette "login-systeme" mit wer weiß was für features zu implementieren.
__________________
I don't believe in rebirth. Actually, I never did in my whole lives.
Mit Zitat antworten
  #11 (permalink)  
Alt 29-11-2004, 14:20
mrhappiness
 PHP Guru
Links : Onlinestatus : mrhappiness ist offline
Registriert seit: Oct 2002
Beiträge: 14.890
mrhappiness ist zur Zeit noch ein unbeschriebenes Blatt
mrhappiness eine Nachricht über AIM schicken mrhappiness eine Nachricht über Yahoo! schicken
Standard

Zitat:
Original geschrieben von wahsaga
HTTP AUTH hat sicherheitslücken? nenn' mir bitte welche.
Wenn man wollte, könnte man die fehlende Möglichkeit, sich abzumelden, als Lücke bezeichnen.


Aber... Wenn das wirklich überhaupt nicht geht, dann ist mein phpmyadmin, mein confixx und was es noch so alles an tollen Sachen gibt, kaputt... da kann ichmich nämlich wieder abmelden
ich bin aber eher geneigt zu glauben, dass es wohl doch geht, du nur nicht weißt, wie
__________________
Ich denke, also bin ich. - Einige sind trotzdem...
Mit Zitat antworten
  #12 (permalink)  
Alt 29-11-2004, 14:22
wahsaga
  Moderator
Links : Onlinestatus : wahsaga ist offline
Registriert seit: Sep 2001
Beiträge: 25.236
wahsaga befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Original geschrieben von mrhappiness
ich bin aber eher geneigt zu glauben, dass es wohl doch geht, du nur nicht weißt, wie
nö, das von dir genannte ist ein krückenhafter workaround, der aber wenig taugt - und auch nichts daran ändert, dass bei HTTP AUTH vom konzept her nun mal kein logout vorgesehen ist. das kannst du drehen und wenden wie du willst ...

lies mal http://www.php.net/manual/de/features.http-auth.php
__________________
I don't believe in rebirth. Actually, I never did in my whole lives.
Mit Zitat antworten
  #13 (permalink)  
Alt 01-12-2004, 08:05
MaxP0W3R
 PHP Senior
Links : Onlinestatus : MaxP0W3R ist offline
Registriert seit: Dec 2003
Ort: Ludwigshafen
Beiträge: 1.809
MaxP0W3R ist zur Zeit noch ein unbeschriebenes Blatt
Standard

ich hab das so gehandhabt:

wenige user (z.B. firmenbereiche, adminbereiche) mit .htaccess

multi-user mit Sessions, ggf. mit MySQL backend
__________________


An mich bitte keine unaufgeforderten E-Mails senden (ausser ihr seid bereit geld zu zahlen, dann gerne )
Mit Zitat antworten
  #14 (permalink)  
Alt 01-12-2004, 13:16
jahlives
 Master
Links : Onlinestatus : jahlives ist offline
Registriert seit: Jun 2004
Ort: Hooker in Kernel
Beiträge: 8.279
jahlives ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Für mich gibt's da nur Sessions mit einer MySQL-Tabelle.
Beim Einloggen lege ich eine Timeoutzeit fest, an der die Session nicht mehr aktiv ist. Bei jedem Aufruf einer geschützten Seite wird die Timeoutzeit in der DB bei der entpsrechenden Session angepasst. Wenn die Zeit nicht mehr aktuell ist (der User hat zu lange keinen Link mehr geklickt), dann kick ich ihn bei der nächsten Anfrage nach einer geschützten Seite wieder raus.
Funzt gut bei wenigen Usern (keine Ahnung wie die Performance bei einer grossen Anzahl Usern ist, da ich doch die DB ein paar Mal bemühen muss)

Gruss

tobi
__________________
Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."
Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)
Mit Zitat antworten
  #15 (permalink)  
Alt 01-12-2004, 18:26
S.Oliver
 Junior Member
Links : Onlinestatus : S.Oliver ist offline
Registriert seit: Jun 2004
Beiträge: 109
S.Oliver ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Ich schmeiss das jetzt einfach mal in die Runde.

Im Prinzip würde doch auch nichts dagegen sprechen, den Ablaufzeitpunkt der Session ebenfalls in der Session zu speichern und die dann mit der aktuellen Uhrzeit zu vergleichen. Zusätzlich kann man ja dann auch den Ablauf der Cookies entsprechend anpassen und die Sessionzeit auf die gewünschte Zeit kürzen.

Vom Punkt Sicherheit her, dürfte das doch keinen Unterschied machen, weil die Session ja von außen nicht veränderbar ist und es spart 3 mySQL Abfragen (alte löschen, überprüfen, ersetzen). Gibt es mit der Methode Probleme, die mir vielleicht noch nicht so bekannt sind?
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni

Wissensbestand in Unternehmen
Wissensbestand in UnternehmenLebenslanges Lernen und Weiterbilden sichert Wissensbestand in Unternehmen

25.05.2018 | Berni


 

Aktuelle PHP Scripte

PHP Server Monitor

PHP Server Monitor ist ein Skript, das prüft, ob Ihre Websites und Server betriebsbereit sind.

11.09.2018 Berni | Kategorie: PHP/ Security
PHP WEB STATISTIK ansehen PHP WEB STATISTIK

Die PHP Web Statistik bietet Ihnen ein einfach zu konfigurierendes Script zur Aufzeichnung und grafischen und textuellen Auswertung der Besuchern Ihrer Webseite. Folgende zeitlichen Module sind verfügbar: Jahr, Monat, Tag, Wochentag, Stunde Folgende son

28.08.2018 phpwebstat | Kategorie: PHP/ Counter
Affilinator - Affilinet XML Produktlisten Skript

Die Affilinator Affilinet XML Edition ist ein vollautomatisches Skript zum einlesen und darstellen der Affili.net (Partnerprogramm Netzwerk) Produktlisten und Produktdaten. Im Grunde gibt der Webmaster seine Affilinet PartnerID ein und hat dann unmittelb

27.08.2018 freefrank@ | Kategorie: PHP/ Partnerprogramme
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 14:26 Uhr.