php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Entwicklung > PHP Developer Forum
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


PHP Developer Forum Hier habt ihr die Möglichkeit, eure Skriptprobleme mit anderen Anwendern zu diskutieren. Seid so fair und beantwortet auch Fragen von anderen Anwendern. Dieses Forum ist sowohl für ANFÄNGER als auch für PHP-Profis! Fragen zu Laravel, YII oder anderen PHP-Frameworks.

Antwort
 
LinkBack Themen-Optionen Bewertung: Bewertung: 5 Stimmen, 5,00 durchschnittlich.
  #16 (permalink)  
Alt 27-01-2004, 19:05
derHund
 PHP Master
Links : Onlinestatus : derHund ist offline
Registriert seit: Aug 2003
Ort: Hundehütte
Beiträge: 5.293
derHund ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
index.php?mod=finanzen&jahr=2004&function=ausgaben
index.php?mod=adressbook&contactID=20

Warum sollte man solche Links nicht verschlüsseln ?
Es ist nur ein Beispiel.
naja, ... wieso sollten man diesen querystring verschlüsseln, also was steht da drin, was der user nicht wissen darf - oder anders herum: dein script sollte schon die $_GET/$_POST auf sinn und korrektheit etc. untersuchen, dann kann es dir brust sein, was der user eingibt, da nur gültige eingaben verwendet werden ....

das halte ich für effektiver, als die url zur verschlüsseln ...
[/ot]
__________________
Die Zeit hat ihre Kinder längst gefressen: hund (back in black) | ??? | ??? | ...
Mit Zitat antworten
  #17 (permalink)  
Alt 27-01-2004, 19:07
mrhappiness
 PHP Guru
Links : Onlinestatus : mrhappiness ist offline
Registriert seit: Oct 2002
Beiträge: 14.890
mrhappiness ist zur Zeit noch ein unbeschriebenes Blatt
mrhappiness eine Nachricht über AIM schicken mrhappiness eine Nachricht über Yahoo! schicken
Standard

Zitat:
Original geschrieben von Dejan
ist immer noch sicherer, als wenn ich z.B. statt ID=20 die URL ind ID=21 verändere. Klar kann ich es mit Session, Berechtigungskonzept sowas abfangen und prüfen. Nur warum so umständlich, wenn es doch einfacher geht ?
nur mal so zum verstehen:

angenommen userid 20 gehört zu mir und userid 21 gehört zu dir

du willst ja sicher nicht, dass ich deine persönlichen daten sehe oder?

so wie ich das verstandenh abe, beruht dein schutz darauf, dass ich nicht weiß, wie der link zu deinen daten aussieht, da du den verschlüsselst?

angenommen, ich setze mich nach dir an den pc an dem du gearbeitet hast und schaue mir den verlauf an...
meinst du nicht, da is der link zu deinen daten zu finden?
und abrakadabra... ich seine persönlichen daten, weil der schutz dann ausgeheblt is

schau dir doch mal das tutorial von mir an, is eigentlich nich schwer
__________________
Ich denke, also bin ich. - Einige sind trotzdem...
Mit Zitat antworten
  #18 (permalink)  
Alt 27-01-2004, 19:16
Dejan
 Newbie
Links : Onlinestatus : Dejan ist offline
Registriert seit: May 2003
Beiträge: 13
Dejan ist zur Zeit noch ein unbeschriebenes Blatt
Standard

@MelloPie:

ich bedanke mich doch bei Dir, für deine Hilfe, gar keine Frage.
Nur irgendwie kann es nicht sein, wenn ich z.B. Autohändler sage, ich will ein Cabrio kaufen, fängt er mit mir darüber zu diskutieren, ob Kombi mit gelben Felgen oder Mini Cooper mit 220er Bereifung für mich besser wäre.
Nimm es nicht persönlich, aber ich wollte nur paar Möglichkeiten zu meiner Frage. Die Diskussion über Session oder POST ist zwar schön, hat aber mit dem eigentlichen Thema "Verschlüsselungsmethode" nichts zu tun !

@mrhappiness:

mcrypt gefällt mir schon, nur solche Funktionen müssen funktionieren, ohne dass man irgendwelche Dateien in System32 übertragen werden müssen (beim Windoof). Meine Entwicklungsumgebung ist auf einem USB Stick und da soll die auch bleiben (also WAMPP).

Die Idee mit MD5 Code => QueryString finde ich gar nicht mal so schlecht, wäre auch eine nette Möglichkeit.
Da ich natürlich faul bin *g*, wollte ich es mir einfach machen :-)

Zweck der Verschlüsselung ist Script mit dem ich z.Z. beschäftige (ein sagen wir mal Personal Portal). Um die benötigte Sicherheit zu haben, habe ich mir gedacht, dass eine Verschlüsselung des Querystrings, auch nach Freigabe des Quellcodes mich von irgendwelchen "möchtegern" Hackern bewahren soll.

Gruß
Dejan

Geändert von Dejan (27-01-2004 um 19:18 Uhr)
Mit Zitat antworten
  #19 (permalink)  
Alt 27-01-2004, 19:21
mrhappiness
 PHP Guru
Links : Onlinestatus : mrhappiness ist offline
Registriert seit: Oct 2002
Beiträge: 14.890
mrhappiness ist zur Zeit noch ein unbeschriebenes Blatt
mrhappiness eine Nachricht über AIM schicken mrhappiness eine Nachricht über Yahoo! schicken
Standard

Zitat:
Original geschrieben von Dejan
Um die benötigte Sicherheit zu haben, habe ich mir gedacht, dass eine Verschlüsselung des Querystrings, auch nach Freigabe des Quellcodes mich von irgendwelchen "möchtegern" Hackern bewahren soll.
aha

kannst du mir das so erklären, als wäre ich sechs jahre alt?
__________________
Ich denke, also bin ich. - Einige sind trotzdem...
Mit Zitat antworten
  #20 (permalink)  
Alt 27-01-2004, 19:25
goth
  Moderator
Links : Onlinestatus : goth ist offline
Registriert seit: Mar 2002
Ort: Erde
Beiträge: 7.271
goth ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Original geschrieben von Dejan
Nur irgendwie kann es nicht sein, wenn ich z.B. Autohändler sage, ich will ein Cabrio kaufen, fängt er mit mir darüber zu diskutieren, ob Kombi mit gelben Felgen oder Mini Cooper mit 220er Bereifung für mich besser wäre.
Ein guter Autohändler wird, wenn Du auf ein am Zaun gelehntes Fahrzeug deutest und sagst "Ich will dieses Cabrio kaufen", dich zumindest darauf hinweisen das es sich um sein Fahrrad handelt ...

... oder ... um es mit Forrest Gump zu sagen: "Dumm ist der der dummest tut!".
__________________
carpe noctem

Bitte keine Fragen per EMail ... im Forum haben alle was davon ... und ich beantworte EMail-Fragen von Foren-Mitgliedern in der Regel eh nicht!
Hinweis: Ich bin weder Mitglied noch Angestellter von ebiz-consult! Alles was ich hier von mir gebe tue ich in eigener Verantwortung!
Mit Zitat antworten
  #21 (permalink)  
Alt 27-01-2004, 19:33
Dejan
 Newbie
Links : Onlinestatus : Dejan ist offline
Registriert seit: May 2003
Beiträge: 13
Dejan ist zur Zeit noch ein unbeschriebenes Blatt
Standard

@goth:

Danke für dein Hinweis, wie gesagt, nicht jeder besitzt den benötigten geistigen Reichtum.

@mrhappiness:

also, ich habe ein String. Ich verschlüssele den vor der Anzeige mit einem zusammengesetzten Schlüssel (aus SID, Remote_Host und den persönlichen eingegebenem Schlüssel). Später soll dieser verschlüsselter String mit zusammengesetzten Schlüssel wieder entschlüsselt werden.
Mehr soll es net sein !
Ich hoffe, dass ich verständlich genug für jeden sechs jährigen war (kleiner Scherz)
Mit Zitat antworten
  #22 (permalink)  
Alt 27-01-2004, 19:34
V 9 1 9 V
 Member
Links : Onlinestatus : V 9 1 9 V ist offline
Registriert seit: Apr 2002
Beiträge: 357
V 9 1 9 V ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Nur mal so die Grundlagen eines Menus:

Hier dein Menu:
Home (index.php?sid=123&action=home)
Downloads (index.php?sid123&action=downloads)
etc...
in der PHP-Datei prüfst du dann nach was angeklickt wurde:

if( $_GET['action'] == 'home' )
{
echo 'Home';
}
elseif( $_GET['action'] == 'downloads' )
{
echo 'Downloads';
}
etc... (geht besser mit switch)
Vorher prüfst du natürlich ob der User mit der sid überhaupt den Bereich betreten darf...Dabei brauchst du NICHTS zu verschlüsseln...

OffTopic:
Verschlüsseln eines Menus...Das hab ich noch nie gehört _D
Mit Zitat antworten
  #23 (permalink)  
Alt 27-01-2004, 19:36
mrhappiness
 PHP Guru
Links : Onlinestatus : mrhappiness ist offline
Registriert seit: Oct 2002
Beiträge: 14.890
mrhappiness ist zur Zeit noch ein unbeschriebenes Blatt
mrhappiness eine Nachricht über AIM schicken mrhappiness eine Nachricht über Yahoo! schicken
Standard

Zitat:
Original geschrieben von Dejan
also, ich habe ein String. Ich verschlüssele den vor der Anzeige mit einem zusammengesetzten Schlüssel (aus SID, Remote_Host und den persönlichen eingegebenem Schlüssel).
wo kommt die SID (Sesion-ID?) her?

ich hab das prinzip nicht so ganz verstanden:
index.php?view=20 ist gefährlich, weil ich das einfach in index.php?view=21 umändern kann und andere daten sehe?

index.php?view=ykdhf32r43r3 ist sicherer?
weil ich nicht weiß, dass es für die 21 index.php?view=453r7hd3x heißt?
__________________
Ich denke, also bin ich. - Einige sind trotzdem...
Mit Zitat antworten
  #24 (permalink)  
Alt 27-01-2004, 19:40
Dejan
 Newbie
Links : Onlinestatus : Dejan ist offline
Registriert seit: May 2003
Beiträge: 13
Dejan ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Genau, es ist sicherer, weil der jenige, der den Script benutzt überhaupt nicht sieht, welche Module geladen oder Parameter übergeben werden.
Also, rein theoretisch würde QueryString für index.php?view=20 bei Dir anders aussehen als bei mir !
Mit Zitat antworten
  #25 (permalink)  
Alt 27-01-2004, 19:53
mrhappiness
 PHP Guru
Links : Onlinestatus : mrhappiness ist offline
Registriert seit: Oct 2002
Beiträge: 14.890
mrhappiness ist zur Zeit noch ein unbeschriebenes Blatt
mrhappiness eine Nachricht über AIM schicken mrhappiness eine Nachricht über Yahoo! schicken
Standard

was mir aber egal is, da ich ja nur den link an sich kennen muss, um auf die daten zugreifen zu können
und das mach ich zur not mit brute-force

anders aussehen wird er übrigens nur wegen dem persönlichen schlüssel, da du die IP nicht nehmen kannst (proxy, aol, ...)

du willst also sowas in der art machen machen
PHP-Code:
?php
session_start
()

function 
encode_link($param)
{
  return 
$_SESSION['private key'].$param;
}

function 
decode_link($param)
{
  return 
substr($paramstrlen($_SESSION['private key']));
}

echo 
'<a href="index.php?action='.encode_link('view=20').'">Userdaten</a>';

$param=explode('='decode_link($_GET['action']))
$_GET[$param[0]]=$param[1];

echo 
'Sie wollen '.$_GET['view'].' sehen';
?> 
warum nicht so?
PHP-Code:
<?php
session_start
();
if (!
logged_in())
  die(
'du nix angemeldet');

if (
$_GET['view']!=$_SESSION['user_id'] and !is_admin())
  die (
'du nix duerfe gucke');

echo 
'Sie wollen '.$_GET['view'].' sehen';
?>
nachteil deiner variante und vorteiler meiner: wenn ich deine verschlüsselte info für view=21 habe, hab ich auch die dazugehörigen daten; wenn bei mir einer aus view=20 einfach view=211 macht, fliegt er auf die schnauze, da das system erkennt, dass ihn das nix angeht

ganz nebenbei find ich meinen vorschlag auch weniger umständlich
__________________
Ich denke, also bin ich. - Einige sind trotzdem...
Mit Zitat antworten
  #26 (permalink)  
Alt 27-01-2004, 20:02
Dejan
 Newbie
Links : Onlinestatus : Dejan ist offline
Registriert seit: May 2003
Beiträge: 13
Dejan ist zur Zeit noch ein unbeschriebenes Blatt
Standard

@mrhappiness:

Das mit IP Addy, habe ich mir schon gedacht, ich habe es auch im meinem ersten Thread erwähnt:

Zitat:
IP Addresse (obowhl Proxy dabei das Problem sein könnte)
Zitat:
wenn ich deine verschlüsselte info für view=21 habe, hab ich auch die dazugehörigen daten;
Nicht ganz, so lange ich mein eingenen KEY oder deinen persönlichen Schlüssel nicht habe, so lange hat man keine Möglichkeit es ganz genau zu entschlüsseln, genau das war meine Idee.

Und genau hast Du es selber erkannt, die Sache mit Session ist einfach umständlich (alle mögliche Parameter müsseb abgefangen werden).

Geändert von Dejan (27-01-2004 um 20:06 Uhr)
Mit Zitat antworten
  #27 (permalink)  
Alt 27-01-2004, 20:02
goth
  Moderator
Links : Onlinestatus : goth ist offline
Registriert seit: Mar 2002
Ort: Erde
Beiträge: 7.271
goth ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Original geschrieben von Dejan
@Goth: Tja, den geistigen Reichtum besitzt nicht jeder !
Traurig aber wahr ... und auch Du hast mich enttäuscht ... !
__________________
carpe noctem

Bitte keine Fragen per EMail ... im Forum haben alle was davon ... und ich beantworte EMail-Fragen von Foren-Mitgliedern in der Regel eh nicht!
Hinweis: Ich bin weder Mitglied noch Angestellter von ebiz-consult! Alles was ich hier von mir gebe tue ich in eigener Verantwortung!
Mit Zitat antworten
  #28 (permalink)  
Alt 27-01-2004, 20:04
Dejan
 Newbie
Links : Onlinestatus : Dejan ist offline
Registriert seit: May 2003
Beiträge: 13
Dejan ist zur Zeit noch ein unbeschriebenes Blatt
Thumbs up

Zitat:
Original geschrieben von goth
Traurig aber wahr ... und auch Du hast mich enttäuscht ... !
Tja, wenn jeder Newbie so herzlich empfangen wird, finde ich hier sehr angenehm weiterhin meine Fragen zu stellen.
Mit Zitat antworten
  #29 (permalink)  
Alt 27-01-2004, 20:05
Dejan
 Newbie
Links : Onlinestatus : Dejan ist offline
Registriert seit: May 2003
Beiträge: 13
Dejan ist zur Zeit noch ein unbeschriebenes Blatt
Standard

ups...Fehler passiert !
Mit Zitat antworten
  #30 (permalink)  
Alt 27-01-2004, 20:07
mrhappiness
 PHP Guru
Links : Onlinestatus : mrhappiness ist offline
Registriert seit: Oct 2002
Beiträge: 14.890
mrhappiness ist zur Zeit noch ein unbeschriebenes Blatt
mrhappiness eine Nachricht über AIM schicken mrhappiness eine Nachricht über Yahoo! schicken
Standard

Zitat:
Original geschrieben von Dejan
Nicht ganz, so lange ich mein eingenen KEY oder deinen persönlichen Schlüssel habe, so lange hat man keine Möglichkeit es ganz genau zu entschlüsseln, genau das war meine Idee.
ich muss doch den verschlüsselten link nicht entschlüsseln, es reicht, wenn ich die verschlüsselte darstellung habe!
Zitat:
Und genau hast Du es selber erkannt, die Sache mit Session ist einfach umständlich (alle mögliche Parameter müsseb abgefangen werden).
ich hab geschrieben dass meine variante weniger umständlich ist...

wenn du sowieso schon mit sessions arbeitest, warum machst du es dir dann so schwer?

meine variante wäre ein pförtner im foyer, der nicht jeden überall hinlässt (du darfst in dein büro, ich darf in mein büro, chef und putze dürfen in alle büros)
deine variante sieht so aus, dass du die bürotüren mühsam mit tarnfarben anpinselst und darauf vertraust, dass schon niemand die türen von anderen mitarbeitern findet. sollte das doch passieren...
gut nacht und viel spaß beim neustreichen
__________________
Ich denke, also bin ich. - Einige sind trotzdem...
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni

Wissensbestand in Unternehmen
Wissensbestand in UnternehmenLebenslanges Lernen und Weiterbilden sichert Wissensbestand in Unternehmen

25.05.2018 | Berni


 

Aktuelle PHP Scripte

PHP Server Monitor

PHP Server Monitor ist ein Skript, das prüft, ob Ihre Websites und Server betriebsbereit sind.

11.09.2018 Berni | Kategorie: PHP/ Security
PHP WEB STATISTIK ansehen PHP WEB STATISTIK

Die PHP Web Statistik bietet Ihnen ein einfach zu konfigurierendes Script zur Aufzeichnung und grafischen und textuellen Auswertung der Besuchern Ihrer Webseite. Folgende zeitlichen Module sind verfügbar: Jahr, Monat, Tag, Wochentag, Stunde Folgende son

28.08.2018 phpwebstat | Kategorie: PHP/ Counter
Affilinator - Affilinet XML Produktlisten Skript

Die Affilinator Affilinet XML Edition ist ein vollautomatisches Skript zum einlesen und darstellen der Affili.net (Partnerprogramm Netzwerk) Produktlisten und Produktdaten. Im Grunde gibt der Webmaster seine Affilinet PartnerID ein und hat dann unmittelb

27.08.2018 freefrank@ | Kategorie: PHP/ Partnerprogramme
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 12:50 Uhr.