php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Entwicklung > PHP Developer Forum
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


PHP Developer Forum Hier habt ihr die Möglichkeit, eure Skriptprobleme mit anderen Anwendern zu diskutieren. Seid so fair und beantwortet auch Fragen von anderen Anwendern. Dieses Forum ist sowohl für ANFÄNGER als auch für PHP-Profis! Fragen zu Laravel, YII oder anderen PHP-Frameworks.

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #1 (permalink)  
Alt 27-10-2007, 18:47
Gazorbeam
 Newbie
Links : Onlinestatus : Gazorbeam ist offline
Registriert seit: Oct 2007
Beiträge: 6
Gazorbeam ist zur Zeit noch ein unbeschriebenes Blatt
Standard Ist dieser Login sicher?

Hallo alle miteinander,

ich hab vor einigen Jahren angefangen, mit PHP herumzuspielen (Betonung liegt auf "spielen), bin aber über gewisse Grundfunktionen nie hinausgekommen.

Nun habe ich mein erstes, größeres projekt vor der Brust.
Und zwar arbeite ich als (Hilfs-)Admin bei einer Firma, die Webauftritte erstellt und diese auch hostet.
Um nun unsere Server zu überwachen setzen wir das Tool-Nagios ein, welches seine Daten per Plugin (auch) in eine MySQL-Datenbank schreibt.
Nun hätten wir gerne, einfach als nettes Feature, dass jeder Kunde per Weboberfläche den aktuellen Status "seines" Servers einsehen kann. Das ist an sich keine großartig sicherheitskritische Sache, dennoch mache ich mir nun, im Gegensatz zu meinen früheren Spielereien, Gedanken über die Sicherheit, weswegen ich mich zuerst damit beschäftigt habe, wie man einen halbwegs sicheren Login gestalten könnte.

Das Folgende ist bis jetzt heraus gekommen, es wäre toll, wenn jemand die Zeit fände, einmal drüber zu schauen und mir dann sagt, was ich verbessern, anders machen soll.

Ich habe das natürlich jetzt nicht einfach ins Blaue programmiert, ich habe mich vorher schon informiert (Stichwort RTFM), aber da ich eben bisher nicht so eine große Ahnung von PHP habe... aber seht selbst:

Login.php - Login-Formular
Logout.php - Session killen
info.php - zu schützende Seite
auth.inc.php - Prüfung, ob User eingeloggt ist

Login.php
PHP-Code:
<?php
if ($_SERVER['REQUEST_METHOD'] == 'POST'
{
    
session_start();

    
$db_link mysql_connect("127.0.0.1","root","");
    
mysql_select_db("nagios");    
    
    
$username mysql_real_escape_string($_POST['username']);
    
$password md5(mysql_real_escape_string($_POST['password']));
    
    
$sql "SELECT username FROM user WHERE username='$username' AND password='$password';";
    
    
$result mysql_query($sql);
    
    if(
mysql_num_rows($result) == 1)
    {    
        
$_SESSION['login'] = true;
        
$_SESSION['user'] = $username;
        
        
header('Location: http://127.0.0.1/info.php');
        exit;
        
    }
    else
    {
        
header('Location: http://127.0.0.1/login/login.php');
        exit;
    }
}
?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="de" lang="de">
<head>
    <title>Geschützter Bereich</title>
</head>
<body>
    <form action="login.php" method="post">
    <p>
        Username:<input type="text" name="username" /><br />
        Passwort:<input type="password" name="password" /><br />
        <input type="submit" value="Anmelden" />
    </p>
    </form>
</body>
</html>
logout.php
PHP-Code:
<?php
     session_start
();
     
session_destroy();

     
header('Location: http://127.0.0.1/login/login.php');
     exit;
?>
info.php
PHP-Code:
<?php
include("login/auth.inc.php");

phpinfo();

?>

<a href="login/logout.php">Logout</a>
auth.inc.php
PHP-Code:
<?php
session_start
();

if( (!isset(
$_SESSION['login']) || !$_SESSION['login']) || (!isset($_SESSION['user'])))
{
    
header('Location: http://127.0.0.1/login/login.php');
    exit;
}
?>
Vielen Dank für eure Mühe im voraus.

Mfg,
Daniel
Mit Zitat antworten
  #2 (permalink)  
Alt 27-10-2007, 18:53
Benutzerbild von onemorenerd onemorenerd
  Moderator
Links : Onlinestatus : onemorenerd ist offline
Registriert seit: Mar 2005
Ort: Berlin
Beiträge: 9.471
onemorenerd wird schon bald berühmt werdenonemorenerd wird schon bald berühmt werden
Standard

Kleine Korrekturen der login.php:
- der else-Zweig ist überflüssig
- du prüfst nicht, ob die _POST-Werte überhaupt vorhanden sind
- du gibst keine Fehlermeldung aus
- das md5() kannst du MySQL machen lassen

Schau mal ins Manual, wie man eine Session korrekt zerstört.

Der Rest scheint in Ordnung zu sein.
Mit Zitat antworten
  #3 (permalink)  
Alt 27-10-2007, 18:59
Gazorbeam
 Newbie
Links : Onlinestatus : Gazorbeam ist offline
Registriert seit: Oct 2007
Beiträge: 6
Gazorbeam ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Hi,

vielen Dank fürs Drüberschauen.

Fehlermeldungen gebe ich deswegen nicht aus, weils nur für mich zum testen ist. Später, wenn ich das Projekt dann angehe hatte ich allerdings vor, eine vernünftige Fehlerbehandlung vorzusehen

Den Rest werde ich dann jetzt mal umbasteln.

Gruß,
Daniel
Mit Zitat antworten
  #4 (permalink)  
Alt 27-10-2007, 19:08
3DMax
 PHP Senior
Links : Onlinestatus : 3DMax ist offline
Registriert seit: Jan 2004
Beiträge: 1.916
3DMax ist zur Zeit noch ein unbeschriebenes Blatt
Standard

ich habe auch zwei kleinigkeiten.

include("login/auth.inc.php"); da würde ich require benutzen, falls der include nicht richtig läuft.

!$_SESSION['login'] kannst du zusätzlich auf den typ prüfen $_SESSION['login']!==true

sind aber nur marginale verbesserungen
Mit Zitat antworten
  #5 (permalink)  
Alt 28-10-2007, 15:59
combie
 PHP Expert
Links : Onlinestatus : combie ist offline
Registriert seit: May 2006
Beiträge: 3.296
combie wird schon bald berühmt werden
Standard

Zitat:
- das md5() kannst du MySQL machen lassen
Ja, aber nicht schön, weil dann die Passwörter im Klartext zum SQL Server flutschen. Sind ja nicht immer auf der selben Maschine.
Das mysql_real_escape.... ist an der Stelle allerdings überflüssig.

Mit fehlt da die magic_quotes Abhandlung. Das würde das Script erheblich portabler machen.

Das Session_destroy() ist gut und schön.. Aber man sollte sich das Beispiel in der Doku dazu anschauen, das geht noch etwas weiter.

Mit häufigem Einsatz von session_regenerate_id() und Aufzeichen der abgelaufenen SIDs lassen sich versehendliche oder gar böswillige Sessionübernahmen erkennen.

Auf die LocationHeader könnte man auch verzichten..
__________________
Wir werden alle sterben
Mit Zitat antworten
  #6 (permalink)  
Alt 28-10-2007, 16:57
Gazorbeam
 Newbie
Links : Onlinestatus : Gazorbeam ist offline
Registriert seit: Oct 2007
Beiträge: 6
Gazorbeam ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Hallo,

warum ist das "mysql_real_escape_string" überflüssig? Ich hatte gelesen, dass man alle Eingaben, die von aussen kommen, erst prüfen bzw. so umwandeln soll, dass keiner damit Mist bauen kann, und "mysql_real_escape_string" wurde bei Variablen, die in SQL-Queries gehen empfohlen...?

Die "magic_quotes"-Behandlung werde ich noch einbauen, da habe ich gestern abend auch noch was zu gelesen.

Die Session beende ich nun so:
PHP-Code:
$_SESSION = array();
     
     if (isset(
$_COOKIE[session_name()]))
     {
         
setcookie(session_name(), ''time()-42000'/');
     }
     
     
session_destroy(); 
session_regenerate_id() werde ich mir mal anschauen, genauso wie die Aufzeichnung der Session-IDs.

Warum kann ich auf den Location-Header verzichten? Ich hatte gedacht, es wäre eine gute Methode, um schnelle Weiterleitungen auf die entsprechenden Seiten zu machen?
Mit Zitat antworten
  #7 (permalink)  
Alt 28-10-2007, 17:15
combie
 PHP Expert
Links : Onlinestatus : combie ist offline
Registriert seit: May 2006
Beiträge: 3.296
combie wird schon bald berühmt werden
Standard

Location Header starten einen neuen Requestzyklus. Je nach Internetanbindung und Serverkonfiguration kostet das man schnell mal eben 0.3 Sec(pi mal Daumen). Das ist pure Resourcenverplemperung! Wenn dein PHP im CGI Modus läuft, ist die Angelegenheit sehr aufwändig.
Du könntest mit include schon hinkommen.

Zitat:
Ich hatte gelesen, dass man alle Eingaben, die von aussen kommen, erst prüfen bzw. so umwandeln soll, dass keiner damit Mist bauen kann, und "mysql_real_escape_string" wurde bei Variablen, die in SQL-Queries gehen empfohlen...?
Im Grunde stimmt das!!!
Aber du schaufelst das Passwort doch erstmal durch md5() und dessen Ergebniss KANN NIE gefährlich sein!!!
Und das Passwort VOR md5() zu escapen macht auch keinen Sinn. Md5() ist auch nicht zu gefährden. Also an diesem konkreten Punkt überflüssig und damit falsch.
__________________
Wir werden alle sterben
Mit Zitat antworten
  #8 (permalink)  
Alt 28-10-2007, 17:19
Gazorbeam
 Newbie
Links : Onlinestatus : Gazorbeam ist offline
Registriert seit: Oct 2007
Beiträge: 6
Gazorbeam ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Ok, dann ist es aber nur zur Hälfte falsch, denn den Usernamen muss ich ja noch escapen, der geht ja nicht in MD5.
Ich dachte das wäre jetzt generell falsch gewesen, aber die Erklärung mit MD5 ist schon logisch.

Wie sieht es denn dann mit der magic_quotes-Behandlung aus, muss ich auf das Passwort dann trotzdem "stripslashes" anwenden, bevor ich es im SQL-Query verwende? Oder kann das genauso wie "mysql_real_escape_string()" entfallen?

Geändert von Gazorbeam (28-10-2007 um 17:22 Uhr)
Mit Zitat antworten
  #9 (permalink)  
Alt 28-10-2007, 19:07
combie
 PHP Expert
Links : Onlinestatus : combie ist offline
Registriert seit: May 2006
Beiträge: 3.296
combie wird schon bald berühmt werden
Standard

Zitat:
Oder kann das genauso wie "mysql_real_escape_string()" entfallen?
Natürlich nicht!
Dann würde ja evtl. ein Teil deiner Passwörter, bei einer Serverkonfigurationsänderung ungültig werden.
__________________
Wir werden alle sterben
Mit Zitat antworten
  #10 (permalink)  
Alt 28-10-2007, 20:32
Gazorbeam
 Newbie
Links : Onlinestatus : Gazorbeam ist offline
Registriert seit: Oct 2007
Beiträge: 6
Gazorbeam ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Gut, vielen Dank
Mit Zitat antworten
  #11 (permalink)  
Alt 29-10-2007, 23:52
Gazorbeam
 Newbie
Links : Onlinestatus : Gazorbeam ist offline
Registriert seit: Oct 2007
Beiträge: 6
Gazorbeam ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Hallo,

ich habe da noch eine Frage, wie oft bzw. wann sollte ich idealerweise "session_regenerat_id()" verwenden?

Ich hab mein Skript jetzt so erweitert, dass alte Session-IDs in einer Tabelle gspeichert werden und verglichen wird, ob die ID bereits existierte, wenn das der Fall ist wird die aktuelle Session automatisch beendet und der User ausgeloggt.

Gruß,
Daniel
Mit Zitat antworten
  #12 (permalink)  
Alt 30-10-2007, 00:02
combie
 PHP Expert
Links : Onlinestatus : combie ist offline
Registriert seit: May 2006
Beiträge: 3.296
combie wird schon bald berühmt werden
Standard

Die ganz paranoiden machen es bei jedem Request. Beim Ein und Ausloggen sollte man es schon tun.
Aber nur bei aktivierten Cookies sinnvoll.

Wenn die SID per URL übergeben wird, macht man sich damit den F5 Button kaputt. Auch das Nachladen von PHP generierten Bildern usw. wird Probleme bereiten wenn dabei Sessiondaten genutzt werden sollen.
__________________
Wir werden alle sterben
Mit Zitat antworten
  #13 (permalink)  
Alt 30-10-2007, 12:10
jahlives
 Master
Links : Onlinestatus : jahlives ist offline
Registriert seit: Jun 2004
Ort: Hooker in Kernel
Beiträge: 8.279
jahlives ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Tipp: Wenn du schon boolean Werte in der Session speicherst, dann prüfe auch typensicher darauf
PHP-Code:
if($var === true)
//oder
if($var !== true
Wenn du das nicht machst könntest du v.a. im Umfeld von register_globals ON in Probleme laufen.

Gruss

tobi
__________________
Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."
Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni

Wissensbestand in Unternehmen
Wissensbestand in UnternehmenLebenslanges Lernen und Weiterbilden sichert Wissensbestand in Unternehmen

25.05.2018 | Berni


 

Aktuelle PHP Scripte

ADSMAN V3 - Werbe-Manager ansehen ADSMAN V3 - Werbe-Manager

ADSMAN V3 - mehr als nur ein Bannermanager! Banner, Textanzeigen und PagePeel Manager! Mit ADSMAN PRO haben Sie die Marketinglösung für eine effektive und effiziente Werbeschaltung mit messbaren Ergebnissen. Unterstützt werden Bannerformate in beliebi

25.10.2018 virtualsystem | Kategorie: PHP/ Bannerverwaltung
PHP News und Artikel Script V2

News schreiben, verwalten, veröffentlichen. Dies ist jetzt mit dem neuen PHP News & Artikel System von virtualsystem.de noch einfacher. Die integrierte Multi-User-Funktion und der WYSIWYG-Editor (MS-Office ähnliche Bedienung) ermöglichen...

25.10.2018 virtualsystem | Kategorie: PHP/ News
Top-Side Guestbook

Gästebuch auf Textbasis (kein MySQL nötig) mit Smilies, Ip Sperre (Zeit selbst einstellbar), Spamschutz, Captcha (Code-Eingabe), BB-Code, Hitcounter, Löschfunktion, Editierfunktion, Kommentarfunktion, Kürzung langer Wörter, Seiten- bzw. Blätterfunktion, V

22.10.2018 webmaster10 | Kategorie: PHP/ Gaestebuch
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 10:34 Uhr.