[PHP5] Sicherheitsrichtlinien Loginbereich PHP+mySQL

**asp2php** · 27.07.2005, 13:14

1. ein Buch ... nee nicht wirklich

2. warum? erkläre mal

3. md5

**onemorenerd** · 27.07.2005, 13:15

http://owasp.org hat kürzlich erst die neue Version seines Guides rausgebracht: http://www.owasp.org/documentation/g...downloads.html

**burnersk** · 27.07.2005, 13:19

Original geschrieben von asp2php
2. warum? erkläre mal

Hallo asp2php.

Ich setzte mich als user zuhause hin und programmiere mal eben

"INSERT INTO `".$AID."wst_user` (`usern`, `passwd`, `admin`) VALUES ('".$txtUser."', '".$txtPass."', '1')"

Irgendwi muss ich wenigstens die SID und Password verschlüsselt abspeichern

Original geschrieben von asp2php
3. md5

tnx.

**onemorenerd** · 27.07.2005, 13:20

Oh dann bin ich wohl etwas übers Ziel hinausgeschossen.

**burnersk** · 27.07.2005, 13:21

Original geschrieben von onemorenerd
http://owasp.org hat kürzlich erst die neue Version seines Guides rausgebracht: http://www.owasp.org/documentation/g...downloads.html

Hallo onemorenerd.

Danke!

**penizillin** · 27.07.2005, 13:22

naja, das mit dem passwort hat sich auf die weise durchgesetzt, dass man es erst gar nicht speichert, sondern nur sein hash - das lässt sich beim einloggen gut vergleichen. hat aber den vorteil, dass es nicht unbedingt fatal ist, wenn dieses hash an dritte kommt.

aber die frage von asp2php hast du eigentlich immer noch nicht beantwortet.

**burnersk** · 27.07.2005, 13:32

Original geschrieben von penizillin
aber die frage von asp2php hast du eigentlich immer noch nicht beantwortet.

Hallo penizillin, asp2php.

Sorry, falls ich mich falsch ausdrücke. Jeder kann ohne die Verschlüsselung seine SID und user / password in die datenbank einfügen. Man muss noch nicht mal viel von PHP und mySQL verstehen.

Ich möchte die SID / password Verschlüsseln um dies zu umgehen.

Original geschrieben von penizillin
naja, das mit dem passwort hat sich auf die weise durchgesetzt, dass man es erst gar nicht speichert, sondern nur sein hash - das lässt sich beim einloggen gut vergleichen. hat aber den vorteil, dass es nicht unbedingt fatal ist, wenn dieses hash an dritte kommt.

Ich bin erst kurze Zeit im "Business". Kannst du mir deine Lösung mal erklären? Ich kenn hash nur als Dailer kennung

**asp2php** · 27.07.2005, 13:37

Original geschrieben von burnersk
Jeder kann ohne die Verschlüsselung seine SID und user / password in die datenbank einfügen.

dann machst du definitiv was falsch! such mal nach usermanagement und registrierung bestätigung (absichtlich getrennt geschrieben

)

Ich bin erst kurze Zeit im "Business". Kannst du mir deine Lösung mal erklären? Ich kenn hash nur als Dailer kennung

Die Funktion md5 erzeugt z.B. ein HASH-Wert

**burnersk** · 27.07.2005, 13:44

Original geschrieben von asp2php
dann machst du definitiv was falsch! such mal nach usermanagement und registrierung bestätigung (absichtlich getrennt geschrieben )

Hallo asp2php.

Also so Grün bin ich auch nicht.

.
Username Password habe ich für meine Datenbank auch gegeben. Zudem hat die Datenbank nen anderen Namen. Root ist auch gesichert.
Aber seinen wir mal "realischtisch". Man kann auch diese Passwörter herausfinden.

**asp2php** · 27.07.2005, 13:54

wenn du so ein Experte bist, dann hack mal php-resource.de; sie haben im Prinzip das Standardformat an Sicherheit

**burnersk** · 27.07.2005, 14:00

Original geschrieben von asp2php
wenn du so ein Experte bist, dann hack mal php-resource.de; sie haben im Prinzip das Standardformat an Sicherheit

Hallo asp2php.

Es gibt "spezialisten" die so was machen. Ich wüsste aber nicht warum ich so was machen sollte, also kümmere ich mich nicht ums "herausfinden" oder schlicht hacken-cracken.

Ne. Aber ich möchte wenigstens die Sicherheitrichtlinien von "gewissen" Forenanbietern herankommen. Z. B. hier im Forum.

Es sind ganz normale Links und keine <form> die mit <method='post'> abgesendet werden.
Also: Wie schaffe ich eine vergleichbare Sicherheit?

**burnersk** · 27.07.2005, 15:26

Original geschrieben von onemorenerd
http://owasp.org hat kürzlich erst die neue Version seines Guides rausgebracht: http://www.owasp.org/documentation/g...downloads.html

Hab schon ein bisschen durch. Danke nochmal für den Tip!

[PHP5] Sicherheitsrichtlinien Loginbereich PHP+mySQL